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译 者 序 


Windows Server 2016 是 微软 作为 Windows NT 操作 系统 家 族 的 一 部 分 开发 的 服务 器 操作 系统 ， 是 Windows 10 
客户 疹 最 理想 的 服务 器 ， 其 中 包含 一 些 IT 专业 人 士 需 要 了 解 的 新 特性 。Windows Server 2016 有 很 多 新 特性 ， 包 括 
Active Directory 联合 服务 、Windows 防御 器 、 远 程 果 面 服务 、 存 储 服务 、 故 障 转移 集群 、Web 应 用 程序 代理 、IIS10、 
Windows PowerShell 5.1、Windows Server 容器 等 。 这 些 功能 提供 了 大 量 工具 ， 能 够 大 大 提高 效率 。 

本 书 是 一 个 完整 的 资源 ， 则 在 提供 真实 世界 使 用 环境 下 的 全 面 信息 ， 通 过 新 工具 和 特性 提供 专家 级 指导 ， 和 帮助 
读者 快速 启动 和 运行 Windows Server 2016。 本 书 有 助 于 读者 掌握 Windows Server 2016 的 最 新 功能 ， 在 实际 场景 中 
应 用 新 工具 ， 探 索 安 人 全、 网络 和 云 的 新 功能 ， 在 Windows Server 2016 迁移 和 管理 的 所 有 方面 获得 专家 指导 。 

Windows Server 是 一 个 大 型 产品 ， 其 中 包 舍 太 多 复杂 的 技术 ， 比 以 前 的 Windows Server 版 本 (尤其 是 旧版 本 ) 要 
复杂 得 多 。 因 此 ， 本 书 选 择 履 六 Windows Server 常用 的 部 分 ， 并 试图 在 每 一 章 的 特定 部 分 进行 详细 讨论 ， 尽 量 避 人 免 
包含 介绍 性 信息 。 本 书 共 分 13 章 , 每 个 章节 都 代表 读者 成 为 Windows Server 2016 专家 用 户 的 过 程 中 的 一 个 里 程 碑 。 

第 1 章 展示 如 何 安 装 Windows Server 2016, 以 及 如 何 使 用 Server Manager 来 管理 服务 器 。 这 是 一 个 很 好 的 开 问 ， 
这 样 在 学 习 各 个 章节 时 ， 就 有 了 一 个 可 参考 的 Windows Server 2016 计算 机 。 在 深入 了 解 工 具 之 前 ， 也 需要 了 解 全 
书 一 直 在 使 用 的 工具 。 所 以 第 2 章 讨 论 如 何 处 理 PowerShell 的 细节 。 

在 安装 完成 并 了 解 了 Windows Server 的 管理 方法 后 ， 就 可 以 深入 了 解 基础 技术 了 。 第 3 章 介 绍 的 都 是 Windows 
服务 器 的 计算 部 分 ， 如 HyperV 和 故障 转移 集群 。 第 4 章 许 细 论 述 文件 系统 、 重 复数 据 删 除 、 存 储 空 间 、 存 储 复制 
和 服务 的 存储 质量 。 第 5 章 深入 介绍 远程 访问 、DNS、DHCP 和 Windows Server 2016 中 一 系列 新 的 网 络 技术 。 

很 好 地 擎 握 了 Windows Server 2016 的 基础 知识 ， 并 了 解 了 一 些 新 技术 后 ， 束 要 学 习 Windows Server 中 更 小 (但 
仍然 很 重要 ) 的 技术 ， 包 括 文 件 服务 、 容 器 、 安 全 机 制 等 。 第 6 章 说 明 如 何 实现 和 管理 文件 服务 ， 不 仅 讨论 共享 文 
件 坎 ， 还 介绍 管理 文件 服务 的 高 级 方面 。 第 7 章 解 释 容 器 是 什么 ， 它 们 是 如 何 工 作 的 ， 以 及 如 何 创建 和 管理 它们 。 
第 8 章 将 了 解 J]EA、JIT 和 Windows Server 2016 中 其 他 新 的 安全 特性 。 

Windows Server 2016 内 置 了 几 种 Active Directory 技术 。 本 书 介绍 第 用 的 三 种 方法 。 第 9 章 介 绍 AD DS， 包 括 
设计 和 架构 、 部 灵 和 日 第 管 理 等 信息 。 第 10 章 介 绍 AD CS 和 公 和 钥 基 础 设施 技术 ， 还 完成 一 个 两 层 的 层次 结构 。 第 
11 章 介绍 AD FS 和 设计 注意 事项 。 然 后 介绍 AD FS 和 Web 应 用 程序 代理 的 逐步 实现 。 

本 书 最 后 一 部 分 讨论 如 何 管 理 企 业 级 服务 器 ， 其 中 目 动 化 和 目 助 服 务 是 成 功 管理 的 天 键 。 第 12 章 介绍 整个 
Microsoft System Center 套件 。 其 中 介绍 了 部 普 和 配置 ， 以 及 关于 企业 党 理 的 概念 。 第 13 章 展示 如 何 使 用 OMS 管 
理 本 地 和 基于 云 的 Windows 服务 器 。 

本 书 语言 流畅 、 深 入 浅 出 、 通 俗 易 惟 、 可 操作 性 强 ， 注 重读 者 实战 能 力 的 培养 和 技术 水 平 的 提高 。 本 书 适合 广 
大 中 、 高 级 网 络 技 术 人 员 学 习 , 适合 网 络 管理 和 维护 人 员 人 参考, 可 作为 高 等 院 校 相关 专业 和 技术 培训 班 的 教学 用 书 ， 
还 可 作为 微软 认证 考试 的 参考 用 书 。 由 于 译 者 水 平 有 限 ， 翻 译 过 程 中 可 能 会 有 不 准确 的 内 容 ， 如 果 读 者 在 阅读 过 程 
中 发 现 失误 和 遗漏 之 处 ， 欢 迎 批 评 指正 。 
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欢迎 阅读 本 书 。 本 书 涵盖 Windows Server 2016 和 操作 系统 内 置 的 核心 技术 ， 包 括 网 络 、 身 份 和 访问 、 存 储 等 。 
我 们 并 没有 事 无 巨细 地 涵盖 所 有 特性 或 选项 , 而 是 指导 你 深入 理解 贯穿 各 章节 的 关键 主题 。 读 者 最 好 将 本 书 从 头 到 
尾 读 一 遍 。 


Windows Server 2016 的 主要 变化 


Windows Server 2016 的 大 多 数 主 要 组 件 都 具有 Windows Server 2016 的 新 特性 、 增 强 和 更 改 。 话 虽 如 此 ， 大 多 
数 变化 都 涉及 对 现 有 服务 的 改进 和 新 特性 的 引入 。 本 书 各 个 章节 将 详细 介绍 这 些 新 特性 。 下 面 列 出 了 与 众 不 同 的 主 

。 风 套 虚拟 化 : 骨 套 虚拟 化 是 Windows Server 2016 的 一 个 全 新 特性 ， 通 过 它 可 以 在 VM 中 部 署 Hyper-V 主 
机 。 这 简化 了 测试 故障 转移 集群 和 测试 各 种 虚拟 化 相关 特性 及 配置 的 过 程 。 注 意 ， 骨 矢 虚拟 化 最 适合 非 生 
产 环境 ， 如 实验 室 环境 。 更 多 信息 请 参阅 第 3 章 。 

e 屏蔽 的 虚拟 机 ; 这 个 新 特性 增强 了 Hyper-V 主机 和 VM 的 安全 性 。 它 可 以 防止 恶意 演 理 员 试 图 查看 控制 
台 或 试图 得 看 虚拟 硬盘 上 的 数据 。 更 多 信息 请 参阅 第 3 章 。 

e 设备 保护 和 和 凭证 保护 : 这 些 新 特性 保护 第 2 代 VM 人 免 受 攻击 。 更 多 信息 请 参阅 第 8 章 。 

。 ”特权 访问 管理 (PAM): PAM 完全 改变 了 许多 管理 员 对 其 环境 的 管理 方式 ， 增 强 了 Active Directory Domain 
Services 环境 的 安全 性 。 更 多 信息 请 参阅 第 9 章 。 

e Storage Spaces Direct; 这 个 新 特性 使 用 本 地 服务 器 存储 器 ， 提 供 了 一 个 高 度 可 用 、 高 度 可 伸缩 的 存储 解 
决 方案 。 更 多 信息 见 第 4 章 。 

。 软件 定义 网 络 LSDN): 在 Windows Server 2016 中 有 许多 新 的 网 络 增强 ,SDN 允许 配置 内 部 环境 , 比如 Azure， 
并 使 用 System Center 虚拟 机 管理 器 管理 它 。 更 多 信息 请 参阅 第 $ 章 。 

e 容器; 容器 是 一 种 特性 ， 它 为 应 用 程序 团队 提供 了 一 种 快速 部 罩 应 用 程序 环境 的 预 打 包 方 式 (例如 ，IIS 和 
ASPNET 结合 使 用 )。 容 器 包含 应 用 程序 团队 需要 的 所 有 东西 ， 而 且 容 器 是 可 移植 的 ， 它 可 在 本 地 运行 ， 
也 可 在 公共 云 中 运行 。 详 情 见 第 7 章 。 

e Nano 服务 器 : 当 微 软 推出 Windows Server 的 Server Core 安装 版 本 时 , 它 因 具备 体积 小 、 要 求 低 、 性 能 高 、 
安全 性 增强 等 特点 而 备 受 赞誉 。Nano 服务 器 更 进一步 (尽管 有 更 多 限制 )。 最 初 ， 它 只 是 一 个 较 小 的 部 署 ， 
没有 GUI, 可 以 运行 一 些 核心 功能 , 如 Hyper-V 和 扩展 文件 服务 器 。 然 而 , 最 近 微 软 发 布 了 Windows Server 
2016(1709 版 ) 的 一 些 重大 改进 。 在 1709 版 中 ，Nano 服务 器 不 再 支持 Hyper-V 等 核心 功能 ， 而 是 专门 用 于 
容器 ， 并 面向 云 。 第 1 章 介 绍 Nano 服务 器 。 


《精通 》 系 列 


Sybex 的 《精通 》 系 列 图 书 以 一 流 的 培训 和 开发 方式 ， 为 在 该 领域 工作 的 读者 提供 了 中 级 和 高 级 技能 的 清晰 闭 
述 ， 并 为 那些 立志 成 为 专家 的 读者 提供 了 清晰 、 严 肃 的 教材 。 每 一 本 《精通 》 系 列 的 图 书 都 包括 以 下 内 容 : 

e ”各 个 章节 围绕 真实 任务 ， 而 不 是 抽象 的 概念 或 主题 ， 基 于 技能 进行 讲解 。 

。 ”和 章 末 提出 的 “问题 ”可 测试 读者 对 该 草 信息 的 掌握 程度 。 


如 何 使 用 本 书 

如 何 使 用 本 书 取决 于 读者 的 目标 和 Windows 服务 器 技术 的 经 验 水 平 。 例 如 ， 如 果 使 用 Windows Server 的 经 验 
有 有限， 那么 从 头 到 尾 阅 读本 书 可 能 获得 最 佳 体 验 。 如 果 你 是 一 名 经 验 丰 富 的 服务 器 管理 员 ， 但 希望 更 多 地 了 解 
Windows Server 2016 的 网 络 组 件 ， 就 可 以 直接 阅读 与 网 络 相关 的 章节 。 如 果 你 正在 准备 认证 考试 ， 就 可 以 阅读 不 同 
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章节 的 特定 主题 ， 以 加 强 特定 领域 的 知识 。 虽 然 本 书 是 按 顺序 编排 的 ， 从 前 到 后 阅读 是 最 容易 的 ， 但 应 该 选择 最 适 
合 目 己 经 验 和 目标 的 路 径 。 

本 书 的 几 个 部 分 将 逐步 执行 安装 和 配置 步骤 。 强 烈 建 议 读者 在 实验 室 或 非 生 产 环境 中 (无 论 是 在 家 还 是 在 工作 
中 ) 执 行 相同 的 步 又。 阅读 茶 项 技术 对 学 习 有 好 处 ， 而 部 羞 、 故 障 排 除 和 维护 某 项 技术 则 有 助 于 学 习 ， 同 时 从 这 两 
方面 着 手 对 学 习 很 有 好 处 ! 

Windows Server 是 一 个 大 型 产品 。 有 太 多 技术 一 这 些 技术 很 复杂 ， 比 以 前 的 Windows Server 版 本 (尤其 是 旧 
版 本 ) 要 复杂 得 多 。 因 此 ， 我 们 必须 准确 地 选择 要 床 盖 的 内 容 ， 同 时 确保 书 的 篇 幅 可 控 。 一 般 来 说 ， 本 书 选 择 履 兰 
Windows Server 最 音 用 的 部 分 ， 并 试图 在 每 一 章 的 特定 部 分 进行 详细 讨论 。 最 后 ， 我 们 避免 包含 介绍 性 信息 ， 除 非 
它 对 主题 而 言 是 必 不 可 少 的 。 本 书 的 读者 历来 是 经 验 丰 主 的 管理 员 ， 他 们 和 希望 提高 对 最 新 版 本 的 Windows 服务 器 
的 了 解 。 因 此 ， 我 们 尽量 避免 对 读者 来 说 “ 太 基 础 ”的 内 容 。 


本 书 的 内 容 组 织 


本 书 每 个 章节 都 代表 读者 成 为 Windows Server 2016 专家 用 户 的 过 程 中 的 一 个 里 程 碑 。 我 们 首先 介绍 安装 Server 
Manager 和 PowerShell。 这 是 一 个 很 好 的 开端 ， 这 样 在 学 习 各 章 时 ,就 有 了 一 个 可 参考 的 Windows Server 2016 计算 
机 。 在 深入 了 解 工 具 之 前 ， 也 需要 了 解 全 书 一 直 在 使 用 的 工具 (尤其 是 PowerShelD)! 

e 第 1 章 “Windows Server 2016 的 安装 与 党 理 ” 展 示 如 何 安装 Windows Server 2016， 以 及 如 何 使 用 Server 


Manager 管理 服务 髓 。 
es 第 2 章 “PowerShell” 讨 论 如 何 处 理 PowerShell 的 细节 。 该 童 中 包含 大 量 信 息 ， 对 于 还 不 熟悉 PowerShell 
的 读者 来 说 尤其 有 用 。 


在 安装 完成 并 了 解 Windows Server 的 管理 方法 后 ， 束 可 以 深入 了 解 基础 技术 了 。 
e 第 3 章 “ 计 算 ” 介 绍 的 都 是 Windows 服务 器 的 计算 部 分 ， 如 Hyper-V 和 故障 转移 集群 。 
e 第 4 章 “ 存 储 ” 详 细 论 述 文 件 系 统 、 重 复数 据 删 除 、 存 储 空间 、 和 存储 复制 和 服务 的 存储 质量 。 
es 第 5 章 “ 网 络 ” 深 入 介绍 远程 访问 、DNS、DHCP 和 Windows Server 2016 中 的 一 系列 新 的 网 络 技术 。 
至 此 ， 你 将 很 好 地 掌握 Windows Server 2016 的 基础 知识 ， 并 了 解 一 些 新 技术 。 接 下 来 的 几 章 由 在 帮助 你 学 习 
Windows Server 中 更 小 (但 仍然 很 重要 ) 的 技术 。 
e 第 6 章 “ 文 件 服 务 ” 说 明 如 何 实现 和 管理 文件 服务 ， 不 仅 讨 论 共 享 文件 光 ， 还 介绍 管理 文件 服务 的 高 级 
方面 。 
e 第 7 章 “Windows Server 容器 ”解释 容器 是 什么 ， 它 们 是 如 何 工 作 的 ， 以 及 如 何 创建 和 管理 它们 。 这 是 一 
项 新 技术 ， 正 在 迅速 发 展 。 
es 第 8 章 “ 安 全 机 制 ” 将 介绍 Just Enough Administration (JEA)、Just Im Time (JIT) 管 理 、Credential Guard 和 
Windows Server 2016 中 其 他 新 的 安全 特性 。 
Windows Server 2016 内 置 了 几 种 Active Directory 技术 。 本 书 介 绍 和 常用 的 三 种 方法 。 没 有 介绍 AD LDS 和 AD 
RMS。 
e 第 9 章 “Active Directory 域 服务 ”介绍 AD DS， 包 括 设 计 和 架构 、 部 置 和 日 癌 管 理 等 信息 。 
e 第 10 章 “Active Directory 认证 服务 ”介绍 AD CS 和 公 和 钥 基 础 设施 技术 ， 该 章 还 介绍 一 个 两 层 层次 结构 。 
e 第 11 章 “Active Directory 联合 服务 ”介绍 AD FS 和 设计 注意 事项 。 然 后 介绍 AD FS 和 Web 应 用 程序 代 
理 的 分 步 实现 。 
本 书 前 两 章 介 绍 如 何 使 用 Server Manager 和 PowerShell 管理 服务 器 。 本 书 最 后 一 部 分 将 讨论 如 何 管理 企业 级 服 
务 器 ， 其 中 目 动 化 和 目 助 服务 是 成 功 管 理 的 天 键 。 
e 第 12 章 “用 System Center 进行 管理 ”介绍 整个 Microsoft System Center 和 套件。 其 中 介绍 部 署 和 配置 ， 以 
及 关于 企业 管理 的 概念 。 
es 第 13 章 “用 OMS 进行 管理 ”展示 如 何 使 用 Microsoft Operations Management Suite( 一 个 Azure 服务 ) 来 管 
理 本 地 和 基于 云 的 Windows 服务 器 。 
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获得 更 多 信息 


每 章 都 列 出 外 部 资源 的 链接 ， 可 用 于 获得 更 多 信息 。 如 果 你 对 某 个 特定 主题 感 兴趣 ,并且 本 书 列 出 了 指向 外 部 
资源 的 链接 ， 就 应 该 选择 花 几 分 钟 来 探索 该 内 容 。 我 们 专门 列 出 一 些 增值 内 容 的 链接 ， 这些 内 容 补 充 和 扩充 了 书 中 
的 信息 。 
勘误 

我 们 希望 本 书 会 对 你 有 所 帮助 ， 在 你 读 完 本 书后 ， 可 继续 使 用 本 书 作 为 参考 书 。 请 注意 ， 虽 然 我 们 已 经 尽 了 最 
大 的 努力 ， 但 有 时 软件 更 新 会 使 屏幕 截图 看 起 来 与 你 屏幕 上 的 界面 略 有 不 同 。 你 仍然 应 该 能 够 按照 给 出 的 指示 进行 


操作 。 但 是 ， 如 果 你 发 现 错误 ， 请 通过 电子 邮件 发 送 到 errata@wiley.com， 告 知 出 版 商 。 
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= 草 
Windows Server 2016 的 安装 与 管理 


Windows Server 2016 基于 早期 Windows Server 版 本 的 安装 和 管理 过 程 。 要 安装 Windows Server 2016， 需 要 了 
解 Windows Server 2016 的 版 本 以 及 它们 是 如 何 获 得 许可 的 。 这 将 有 助 于 选择 最 符合 目 己 需求 的 Windows Server 2016 
版 本 。 还 需要 选择 合适 的 安装 方法 ， 例 如 通过 Windows Deployment Services(Windows 部 署 服务 ) 上 自动 安装 。 

安装 Windows Server 2016 后 ，Server Manager 就 是 用 于 管理 的 主要 接口 。 在 Server Manager 中 , 可 以 局 动工 具 ， 
使 用 它们 来 管理 和 监控 Windows Server 2016。 


本 章 内 容 包括 : 

e 定义 部 姥 过 程 

e 选择 Windows Server 2016 版 本 
e 监控 Windows Server 2016 


1.1 Windows Server 2016 版 本 和 授权 


微软 针对 每 一 代 的 Windows Server 都 有 不 同 的 版 本 。 对 于 每 一 代 的 Windows Server, 不 同 的 版 本 具有 不 同 的 特 
性 或 许可 。 可 以 获得 Windows Server 2016 标准 版 或 Windows Server 2016 数据 中 心 版 。 在 这 两 个 版 本 中 ， 绝 大 多 数 
功能 都 是 相 同 的 ， 但 也 有 一 些 显 著 的 区 别 ， 参见 表 ls 


表 1.1 Windows Server 2016 版 本 的 区 别 


功 能 说 明 
一 个 Windows Server 2016 标准 许可 ， 可 用 于 单个 虚拟 化 主机 上 的 两 个 虚拟 机 。 


虚拟 化 许可 Pe 本 | de 
一 个 Windows Server 2016 数据 中 心 许 可 ， 可 用 于 单个 虚拟 化 主机 上 无 限 数量 的 虚拟 机 
软件 定义 网 络 这 个 特性 应 用 策略 来 控制 网 络 配置 和 安全 ， 不 包含 在 标准 版 中 
屏蔽 的 虚拟 机 要 配置 屏蔽 的 虚拟 机 ，Hyper-V 主机 必须 运行 Windows Server 2016 数据 中 心 版 
Windows Server 2016 标准 版 对 每 个 Hyper-V 主机 限制 为 两 个 Hyper-V 容器 。Windows Server 2016 
Hyper-V 容器 可 拥有 无 限 数量 的 Hyper-V 容器 。 
Windows Server 2016 的 两 个 版 本 都 可 以 有 无 限 数量 的 标准 容器 
存储 复制 这 个 功能 在 两 台 服 务 器 之 间 同 步 数据 ， 仅 在 Windows Server 2016 数据 中 心 版 中 可 用 


Storage Spaces Direct 这 个 功能 为 文件 共享 提供 了 很 高 的 可 用 性 ， 仅 在 Windows Server 2016 数据 中 心 版 中 可 用 


从 表 1.1 可 以 看 出 ，Windows Server 2016 标准 版 和 Windows Server 2016 数据 中 心 版 之 间 只 有 几 个 功能 差异 。 
如 果 不 需 要 这 些 功 能 ， 那 么 选择 Windows Server 2016 版 本 的 主要 依据 通常 是 虚拟 化 许可 。 

大 多 数组 织 都 将 新 服务 器 部 署 为 虚拟 机 。 如果 只 有 一 个 Windows Server 2016 标准 版 许可 , 就 可 以 安装 Windows 
Server 2016 标准 版 ， 使 用 Hyper-V 作为 虚拟 化 主机 ， 并 使 用 Windows Server 2016 标准 版 配置 两 个 虚拟 机 。 购 买 第 
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二 个 Windows Server 2016 标准 版 许可 ， 可 再 添加 两 个 运行 Windows Server 2016 标准 版 的 虚拟 机 。 在 每 个 虚拟 化 主 
机 只 有 几 个 虚拟 机 的 小 型 组 织 中 ， 使 用 Windows Server 2016 标准 版 通常 比较 划算 。 
在 拥有 许多 虚拟 机 的 大 型 组 织 中 ， 使 用 Windows Server 2016 数据 中 心 版 通常 更 划算 ， 也 更 容易 管理 。 拥 有 一 
个 Windows Server 2016 数据 中 心 版 许可 ,可 以 安装 Windows Server 2016 数据 中 心 版 ， 使 用 Hyper-V 作为 虚拟 化 主 
机 ， 并 在 该 主机 上 配置 无 限 数量 的 虚拟 机 。 


没有 Hyper-V 的 虚拟 化 许可 

Hyper-V 是 一 个 优秀 的 虚拟 机 监控 程序 , 广泛 用 于 实现 服务 器 和 球面 的 虚拟 化 .还 有 其 他 监控 程序 ,如 VMware、 
XenServer 等 。 使 用 Hyper-V 以 外 的 监控 程序 时 , 虚拟 服务 器 的 许可 与 使 用 Hyper-V 完全 相同 。Windows Server 2016 
标准 版 许可 允许 在 任何 监控 程序 上 实现 两 个 运行 Windows Server 2016 标准 版 的 虚拟 机 。Windows Server 2016 数据 
中 心 版 许可 允许 在 任何 监控 程序 上 实现 无 限 数量 的 、 运 行 Windows Server 2016 数据 中 心 版 的 虚拟 机 。 


1.1.1 基于 处 理 怖 核心 的 许可 


在 虚拟 化 普及 前 ，Windows Server 要 根据 与 物理 机 器 一 对 一 的 比例 获得 许可 。 旧 版 本 的 Windows Server 受 限 于 
物理 处 理 器 的 数量 和 它们 能 够 处 理 的 内 存量 。 当 虚拟 化 普及 时 ， 每 个 许可 证 都 包含 许多 虚拟 机 。 现 在 ， 物 理 硬件 变 
得 非 弟 强大， 人们 不 得 不 基于 物理 服务 器 中 的 处 理 器 内 核 数 量 来 限制 许可 。 

Windows Server 2016 标准 版 和 Windows Server 2016 数据 中 心 版 使 用 相同 的 基于 核心 的 许可 结构 。 基 本 操作 系 
统 许可 为 两 个 8 核 处 理 器 (总 共 16 核 ) 提 供 许可 。 如 果 每 个 处 理 器 有 超过 8 个 物理 内 核 ( 超 线 程 不 算 作 额 外 的 内 核 )， 
就 需要 以 最 小 增 量 (2 核 ) 购 买 额外 的 核心 许可 。 

服务 器 中 的 每 个 处 理 器 都 必须 获得 最 少 8 个 核心 的 许可 。 因 此 ， 如 果 服 务 器 中 有 4 个 处 理 器 ， 就 需要 获得 最 少 
32 个 内 核 的 许可 。 购 买 两 个 Windows Server 许可 就 可 以 满足 这 个 需求 。 对 于 Windows Server 2016 标准 版 ， 它 允许 
安装 两 个 虚拟 机 。 要 允许 使 用 4 个 虚拟 机 ， 就 需要 再 次 获得 服务 器 中 的 所 有 处 理 器 的 许可 。 


1.1.2 ”客户 痛 访 问 许 可 


在 基于 Windows 的 网 络 上 ， 除 了 服务 器 之 外 ， 还 需要 为 客户 端 贫 发 许可 证 。 客 户 疹 访 问 许 可 (Client Access 
License，CAL) 回 用 户 或 设备 提供 在 服务 器 上 运行 的 服务 的 访问 权限 。 例 如 ， 如 果 计 算 机 连接 到 域 ， 用 户 登 录 到 网 
络 ， 就 需要 CAL。 该 CAL 可 以 是 连接 到 网 络 的 人 员 的 用 户 CAL， 也 可 是 用 于 连接 网 络 的 计算 机 的 设备 CAL。 只 需 
要 一 个 CAL: 用 户 CAL 或 设备 CAL 。 

购买 CAL 时 ， 需 要 确定 ， 是 用 户 CAL 还 是 设备 CAL 对 组 织 来 说 最 划算 。 如 果 一 个 用 户 有 多 个 可 以 访问 
网 络 服务 的 设备 ， 例 如 桌面 计算 机 和 笔记 本 电脑 ， 那 么 用 户 CAL 是 最 经 济 的 。 如 果 一 个 设备 由 多 个 用 户 使 
用 ， 例 如 具有 多 个 呼叫 转移 的 呼叫 中 心 ， 那 么 设备 CAL 是 最 划算 的 。 可 以 根据 自己 的 需要 组 合用 户 CAL 和 
设备 CAL 。 

CAL 是 纸 质 许 可 。 这 意味 着 需要 精确 跟踪 用 户 和 设备 ， 但 Windows Server 2016 并 不 监视 使 用 中 的 许可 。 也 不 
需要 专门 将 许可 分 配给 用 户 账户 或 计算 机 。 


1.1.3 ”许可 程序 


微软 有 各 种 不 同 的 许可 程序 ， 有 不 同 的 优点 、 限 制 和 成 本 。 可 通过 这 些 程序 获得 Windows Server 2016 许可 
和 CAL。 这 些 程 序 会 随 厦 时 间 而 变化 ， 所 以 需要 与 专家 讨论 如 何 购买 许 可 。 以 下 是 一 些许 可 获得 方法 的 概述 : 

令 ”原始 设备 制造 商 (OriginalEquipment Manufacturer，OEMD。 购买 新 的 物理 服务 器 时 ， 可 以 购买 这 种 类 型 
的 许可 。 它 通常 是 最 便宜 的 选项 ， 但 许可 不 能 移 到 其 他 硬件 。 

令 ”批量 许可 。 这 种 许可 比 OEM 许可 更 灵活 ， 因 为 它 不 限于 特定 的 物理 服务 器 。 在 服务 器 之 则 移动 此 许可 的 
频率 是 受 限 的 。 在 虚拟 机 可 在 虚拟 化 主机 之 间 移 动 的 高 可 用 性 场合 ， 这 是 一 个 重要 考虑 因 系 。 

令 ”软件 保证 。 这 种 类 型 的 许可 会 添加 到 批量 许可 中 ， 以 包括 软件 升级 。 软 件 保 证 还 提供 了 额外 好 处 ， 比 如 可 
随时 在 物理 服务 器 之 间 移 动 许可 。 

令 ”企业 协议 。 这 种 类 型 的 许可 是 基于 用 户 的 ， 而 不 是 基于 服务 器 的 。 如 果 组 织 中 每 个 用 户 的 费用 是 固定 的 ， 
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就 可 以 运行 满足 需求 的 服务 器 实例 数量 。 这 种 类 型 的 许可 证 还 包括 CAL， 并 可 能 包括 其 他 产品 ， 如 SQL 


Server 和 Exchange Server。 


1.1.4 Windows Server 2016 的 其 他 版 本 


Windows Server 2016 Essentials 是 针对 小 型 企业 的 Windows Server 2016 版 。 这 个 版 本 的 Windows Server 2016 
许可 比 标准 版 本 或 数据 中 心 版 本 更 简单 ， 因 为 它 不 需要 CAL。 相 反 ，Windows Server 2016 Essentials 限制 为 25 个 用 
户 和 50 台 设 备 。 它 也 没有 针对 多 个 实例 的 虚拟 化 权限 ， 内 存 限制 为 64GB， 至 多 可 以 有 两 个 物理 CPU。 为 了 简化 
部 羞 ， 会 目 动 安装 和 配置 一 些 服 务 器 角色 和 特性 。 

Windows Storage Server 2016 只 能 通过 存储 设备 的 硬件 供应 商 获 得 。 该 版 本 的 服务 器 角色 数量 有 限 ， 因 为 这 个 
版 本 被 设计 为 通用 操作 系统 。 例 如 ， 不 能 将 Windows Storage Server 2016 配置 为 域 控 制 器 。 

有 关 Windows Server 2016 许可 的 更 多 信息 , 请 参见 https://www.microsoft.com/en-us/cloud-platform/windows-server- 
pricing 上 的 Windows Server 2016 Licensing & Pricing。 


1.2 ”安装 Windows Server 2016 


物理 服务 器 是 专用 硬件 ， 通 常 需要 Windows Server 2016 以 外 的 驱动 程序 。 在 开始 安装 前 ， 应 该 获得 服务 器 需 
要 的 所 有 驱动 程序 。 一 些 制 造 商 有 一 个 安装 Windows Server 2016 的 专门 过 程 ， 可 在 安装 过 程 中 注入 驱动 程序 。 

现代 服务 器 的 固件 是 统一 可 扩展 固件 接口 (Unified Extensible Firmware Interface，UEFI)， 而 不 是 旧 的 基本 输入 输出 系 
统 (Basic Input Output System，BIOS)。 尽 党 可 将 UEFI 固件 设置 为 旧 模 式 以 模拟 BIOS, 但 不 需要 这 样 做 。Windows Server 
2016 可 以 使 用 UEFI 固件 启动 。 此 外 ， 使 用 UEFI 还 提供 了 从 更 大 的 磁盘 引导 和 更 安全 的 引导 过 程 等 优点 。 

在 安装 前 ， 还 应 该 为 服务 器 计划 磁盘 分 区 。 关 键 的 考虑 因 系 是 操作 系统 使 用 的 C: 驱 动 器 的 大 小 。C: 驱 动 器 必须 
足 够 大 ， 不 仅 要 支持 Windows Server 2016 的 初始 安装 ， 还 要 支持 随时 间 的 推移 而 安装 的 任何 更 新 。 此 外 ， 大 多 数 
组 织 都 尽 可 能 将 应 用 程序 和 数据 保存 在 独立 于 操作 系统 的 分 区 上 。 将 应 用 程序 和 数据 从 操作 系统 中 分 离 出 来 ， 有 助 
于 防止 操作 系统 驱动 器 耗 尽 存储 空间 ， 并 可 以 简化 备份 和 恢复 。 


在 虚拟 机 中 安装 

用 户 可 能 将 大 多 数 服务 器 部 署 为 虚拟 机 。 虚拟 机 为 部 署 和 管理 提供 了 很 大 的 灵活 性 ,要 在 虚拟 环境 中 正常 工作 ， 
Windows Server 2016 需要 为 该 虚拟 环境 提供 正确 的 驱动 程序 ， 就 像 Windows Server 2016 需要 有 正确 的 驱动 程序 才 
能 在 物理 硬件 上 正常 工作 一 样 。 

在 Hyper-V 主机 的 虚拟 机 上 安装 Windows Server 2016 时 ， 安 装 文件 包括 所 有 必需 的 驱动 程序 。 如 果 创 建 第 1 
代 庶 拟 机 ， 它 就 模拟 BIOS 固件 。 如 果 创 建 第 2 代 虚 拟 机 ， 它 就 使 用 UEFI 固件 。Windows Server 2016 适用 于 这 两 
种 类 型 的 固件 。 

如 果 使 用 男 一 种 虚拟 机 监控 程序 (如 VMware) 在 虚拟 机 上 安装 Windows Server 2016， 那 么 通常 需要 安装 其 他 驱 
动 程序 。 例如， 要 为 在 VMware 上 运行 的 虚拟 机 安装 VMware 工具 。 


1.2.1 安装 步骤 


要 开始 安装 Windows Server 2016， 请 确保 服务 器 配置 为 从 DVD 引导 。 这 是 固件 中 的 一 个 配置 选项 。 将 安装 
DVD 放 在 DVD 驱动 器 中 ， 并 完成 以 下 过 程 ， 

(1) 局 动 服 务 器 并 按 下 一 个 键 ， 当 提示 时 ， 从 DVD 开始 安装 。 

(2) 选择 合适 的 语言 、 时 间 和 货币 格式 以 及 键盘 布局 ， 如 图 1.1 所 示 ， 然 后 单 击 Next 按钮 。 

(3) 单 击 Install Now。 

(4) 在 Activate Windows 窗口 中 , 输入 产品 密 钥 并 单 击 Next 按钮 。 如 果 选 择 IDon't Have a Product Key， 你 需要 
在 稍 后 输入 产品 密 钥 。 

(5) 在 Select the operating system you want to install 窗口 中 ， 选 择 要 安装 的 操作 系统 版 本 ， 如 图 1.2 所 示 ， 然 后 
单 击 Next 按钮 。 
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wa Windows Setup 


十- Windows Server 2016 


Language to install: English (United States) 


Time and currency | English (United States) 于 


ee 


Enter your language and other preferences and chick “Next to continue. 


B2016 Nicroseoft Corporation. All rights reserved. 


图 1.1 选择 本 地 化 设置 


<€ A Windows Setup 


Select the operating system you want to install 


Operating system Architecture Date modified 
Windows Server 2016 Datacenter i wb: 11/21/2016 
Windowvs Server 2016 Datacenter (Desktop Experience) 11/21/2016 


Description: 

This option (recommended) reduces management and servicing by installing only what Is needed 
to run most server roles and applications. K does not include a GUL, but you can fully manage the 
server locally or remotely with Windows Powershell or other tools. For more detalls see "Windows 
Server Installation Options.” 


图 1.2 选择 操作 系统 


(6) 在 Applicable notices and license terms 窗口 中 ， 选 择 Iacceptthe license terms 复 选 框 并 单 击 Next 按钮 。 


服务 颖 核心 和 昌 面 体验 

安装 Windows Server 2016 标准 版 或 数据 中 心 版 时 ， 可 以 选择 安装 Server Core 或 Desktop Experience。Desktop 
Experience 是 包含 图 形 界面 的 完整 服务 器 安装 。 这 种 安装 类 型 可 在 服务 器 控制 台 上 运行 所 有 管理 工具 。 在 Windows 
Server 2012 R2 中 ， 可 以 添加 或 删除 图 形 界 面 。 这 在 Windows Server 2016 中 是 不 可 能 的 。 

Server Core 是 Windows Server 2016 的 精简 版 ， 不 包含 图 形 界 面 。 要 管理 Server Core， 可 在 本 地 使 用 命令 提示 
符 或 Windows PowerShell. 要 使 用 图 形 化 工具 ,可 在 Windows 10 中 使 用 远程 服务 器 管理 工具 (Remote Server Administration 
Tbols，RSAT)。 

Server Core 中 有 一 个 服务 器 角色 子 集 , 这 些 角 色 包 括 大 多 数 网 络 服务 , 如 DNS、DHCP、 Active Directory Domain 
Services(AD DS)、Active Directory Certificate Services、File Services 和 Windows Server Update Services。 如 果 在 服 
务 器 上 运行 应 用 程序 ， 则 需要 验证 应 用 程序 是 否 与 Server Core 兼容 。 
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Server Core 的 功能 有 限 ,， 减少 了 操作 系统 的 攻击 面 。 它 还 减少 了 更 新 的 需求 ， 从 而 增加 了 正常 运行 时 间 。 磁 盘 
利用 率 也 降低 了 ， 这 允许 在 大 规模 虚拟 化 中 更 有 效 地 使 用 磁盘 。 

(7) 如 图 1.3 所 示 , 在 Which type of installation do you want 窗口 中 , 单 击 Custom: Install Windows only (advanced)。 
我 们 很 少 执行 从 一 个 服务 器 操作 系统 版 本 到 另 一 个 服务 器 操作 系统 版 本 的 就 地 升级 ， 而 第 安装 新 服务 器 ， 并 将 服务 
和 应 用 程序 迁移 到 新 服务 器 。 

le Eh Windows Setup 
Which type of installation do you want? 


Upgrade: Install Windows and keep files, settings, and applications 
The files, settings, and applications are moved to Windows vith thrs option. Thirs option ts only 
available when a supported version of Windows is already running on the computer. 


Custom: Install Windows only (advanced) 


The files, settings, and applications aren't mowved to Windows with this optron. I you want to 


make changes to partitions and drrves, start the computer using the installation disc. We 
recommend backng up your files before you continue 


Help me decide 


图 1.3 选择 安装 类 型 
(8) 如 图 1.4 所 示 , 在 Where do you want to install Windows 窗口 中 , 选择 安装 操作 系统 的 正确 驱动 器 并 单 击 Next 
按钮 。 如 果 磁 盘 没 有 在 此 窗口 中 显示 出 来 ， 则 可 以 使 用 Load driver 选项 安装 丢失 的 存储 驱动 器 。 还 可 以 手动 创建 和 
删除 分 区 。 
《3 EE Windows Setup 


Where do you want to install Windows? 


Total size Free space 


1270 GB 1270 GB 


*3, Refresh 中 Delete 


| oad driver es | Extend 


图 1.4 选择 安装 位 置 


引导 和 系统 分 区 
服务 器 使 用 UEFI 固件 ， 并 允许 Windows Server 2016 安装 过 程 在 磁盘 上 创建 分 区 。 它 将 创建 三 个 分 区 : 


全 恢复 分 区 。 这 个 分 区 是 450MB， 和 包含 Windows Server 2016 的 恢复 工具 。 如 果 Windows Server 2016 无 法 
启动 ， 那 么 服务 器 将 从 这 个 分 区 引导 ， 可 使 用 这 些 工 具 尝 试 恢复 . 
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争 ”EFI 系统 分 区 。 该 分 区 为 100MB， 存 储 司 动 Windows Server 2016 引导 过 程 所 需 的 操作 系统 文件 。 

全 引导 分 区 。 这 个 分 区 使 用 磁盘 的 其 余部 分 存储 Windows Server 2016 操作 系统 文件 。 这 个 分 区 还 用 于 存储 
分 页 文件 。 

如 果 服 务 器 使 用 旧 的 BIOS 固件 ， 则 只 创建 两 个 分 区 : 

例 系统 分 区 。 这 个 500MB 的 分 区 包含 用 于 启动 Windows Server 2016 引导 过 程 的 文件 和 用 于 恢复 的 文件 。 

倒 ”引导 分 区 。 这 个 分 区 使 用 磁盘 的 其 余部 分 存储 Windows Server 2016 操作 系统 文件 。 这 个 分 区 还 用 于 存储 
分 页 文件 。 

(9) 等 竺 复制 文件 ， 安 装 完 成 。 如 果 服 务 器 或 磁盘 比较 慢 ， 这 可 能 需要 30 分 钟 。 

(10) 服务 器 重新 启动 后 ， 在 Customize Settings 屏幕 的 Password 和 Reenter Password 框 中 ， 输 入 本 地 管理 员 账 

户 的 密码 ， 并 单 击 Finish 按钮 。 


1.2.2 ”安装 后 的 配置 


为 简化 Windows Server 2016 的 安装 过 程 ， 许 多 设置 都 有 默认 值 。 然 而 ， 可 能 需要 立即 改变 如 下 4 项 : 

令 ”计算 机 名 称 。 在 安装 过 程 中 , 会 自动 生成 WIN-RandomString 格式 的 计算 机 名 称 。 需 要 更 改 该 计算 机 名 称 ， 
以 匹配 组 织 使 用 的 命名 标准 。 

令 ”工作 组 .每 台 计 算 机 都 自动 成 为 WORKGROUP 工 作 组 的 一 个 成 员 。 大 多 数 情况 下 ， 用 户 希 望 加 入 域 。 

令 ”IPv4 地 址 。IPv4 配置 为 在 安装 后 从 DHCP 中 目 动 获取 卫 地 址 。 大 多 数组 织 都 设置 了 静态 IPv4 地 址 ， 而 
不 是 使 用 DHCP。 

令 ”时 区 。 默 认 时 区 (UTC-08:00) 为 太平 洋 时 间 ( 美 国 和 加 拿 大 )。 更 改 时 区 ， 以 匹配 服务 器 的 位 置 。 

如 果 安 装 了 Desktop Experience 选项 ， 束 可 以 使 用 Server Manager( 如 图 1.5 所 示 ) 来 配置 这 些 项 。 还 可 以 使 用 

Server Manager 来 检查 和 配置 其 他 币 见 设置 。 


居 Server Manager 


一 本 下 
(后 3 Server Manager * Local Server -| FF Mange Took Vew Help 


PROPERTIES 


Fear WIN-P2DJ5312H1a TASKS = 


Computer name WIN-PiQ3312H12 Last installed updates 


Mi All Servers Workgroup WORKGSROUR Windows Update 


王 Dashboard 


四 Local Server 


醒 File and Storage Services bP Last checked for updates 


Wn oes Firewall Pubilic: Omn Wmndows Defender Real=Time Protectd 
Remote management Enabled Feedback & Diagnostics Settirr 可 5 

Remote Desktop Lsabled IE Enhanced Secunty Configuration Wn 

NIC Teaming Disabled Time zo6ne (UTC-0800) Pacifie 


Ethemet IPvd address assigned by DHCP, Ipv6 enabled Product ID D00877-90011-7018| 


Dperating system version Micresoft Windows Server 2016 Datacenter Processors Irnbel(R) Core(Th) 记 
Hardware informatian Microsoft Corporation Virtual Machine Installed rmemeory (RAMA) 直 习 肛 


Total disk space 126.45 GB 


EVENTS 


Ml events | 3 total 
Filter 
Server Name ID Severity Source Log Date and Time 


WIN-P2CJ5312H12 10016 Error Microsoft-Windows-DistributedCOh System W017 :i122 PM 
WIN-P2DJS312H12 1534 Warning Microsoft-Windews-User Profile Service Application 132017 e117 PM 


WIN=-P20J3s312H12 10149 Warmng Merosoft-Windeows-Windows hemote Management System Ga/201r illisb RM 
1.5 Server Manager 
如果 安装 了 Server Core 选项 , 则 需要 使 用 命令 行 工 具 或 Windows PowerShell 来 配置 这 些 项 ,要 简化 Server Core 


的 配置 ， 可 使 用 sconfig.cmd， 如 图 1.6 所 示 。 这 个 脚本 包含 在 Server Core 中 ， 并 提供 了 一 个 菜单 驱动 的 界面 来 配置 
常见 项 。 
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画 Administrator CAWWindowsteystem32vcmdLexe - sconfig.cmd | 一 | 口 | 国 
wh rosoTt KR} i JDnS script ngst Wersi1on = 时 ys 


图 1.6 sconfig.cmd 


1.2.3 激活 

所 有 版 本 的 Windows Server 2016 都 需要 激活 。 激 活 可 以 证 明 许可 密 钥 是 有 效 的 。 如 果 没 有 激活 Windows Server 
2016 副本 ， 它 就 在 180 天 后 进入 通知 模式 。 在 通知 模式 下 ， 用 户 会 收 到 油 活 提醒 ， 且 禁用 一 些 功能 ， 如 个 性 化 。 

较 小 组 织 可 能 会 购买 Windows Server 2016 和 物理 服务 器 。 原 始 设 备 制 造 商 (OEM) 许 可 比 批量 许可 便宜 ， 但 不 
能 移动 到 男 一 个 物理 服务 器 。 因 此 ， 如 果 物 理 服务 器 退役 了 了， 许可 证 也 随 之 退役 。 

联系 微软 ， 可 以 激活 OEM 许可 。 通 常 ， 可 通过 Internet 激活 服务 器 ， 也 可 通过 电话 激活 。 

较 大 的 组 织 通 肖 购 买 更 灵活 的 批量 许可 。 批 量 许可 能 在 物理 服务 器 之 间 移 动 。 批 量 许可 也 有 更 多 激活 选项 。 

多 个 激活 密 钥 (Multiple Activation Key，MAK) 可 被 激活 多 次 。 激 活 数量 由 微软 跟踪 ， 但 用 户 有 责任 确保 使 用 正 
确 的 许可 数量 。MAK 密 钥 激活 可 通过 互联 网 或 电话 进行 。 

KMS(Key Management SelVlce， 密 钥 管理 服务 ) 密 钥 允 许 在 组 织 内 自动 激活 新 服务 器 ， 而 不 需要 新 服务 器 通过 Intemet 
进行 通信 。 这 很 重要 ， 因 为 大 多 数组 织 不 允许 服务 器 与 Internet 通信 。 表 1.2 描述 了 使 用 KMS 密 钥 的 激活 方法 。 


表 1.2 使 用 KMS 密 钥 的 激活 方法 
方 ” 法 说 明 
可 将 Windows Server 2016 配置 为 KMS 主机 。 然 后 就 可 将 KMS 密 钥 添加 到 KMS 主机 。 回 KMS 主机 添加 
KMS 密 钥 时 ，Microsoft 会 激活 它 。 但 是 ， 新 服务 器 通过 联系 KMS 主机 来 激活 。 
KMS 主机 具有 最 小 的 激活 国 值 。 对 于 服务 器 操作 系统 ， 激 活 国 值 为 5S。 如 果 使 用 KMS 主机 进行 激活 的 服务 
器 少 于 5 台 ， 激 活 就 不 会 成 功 。 这 使 KMS 主机 很 难 用 于 较 小 的 组 织 或 远程 站 点 
基于 Active | 在 实现 基于 Active Directory 的 激活 时 ， 激 活 信息 存储 在 Active Directory 中 ， 而 不 是 存储 在 KMS 主机 上 。 
Directory 的 | 因为 新 服务 器 与 Active Directory 通信 , 所 以 没有 激活 的 单 点 故障 。 此 外 , 对 于 基于 Active Directory 的 激活 ， 
激活 没有 最 低 的 激活 国 值 。 这 是 支持 它 的 软件 的 诈 选 激活 方法 


KMS 主机 


要 配置 KMS 主机 或 基于 Active Directory 激活 ， 可 在 Windows Server 2016 中 安装 Volume Activation Services 服 
务 器 角色 。 安 装 此 服务 器 角色 后 ， 运 行 Volume Activation Tools， 该 工具 允许 选择 启用 基于 KMS 或 Active Directory 
的 激活 和 管理 密 钥 。 


GVLK 

使 用 KMS 或 基于 Active Directory 的 激活 时 , 不 需要 在 Windows Server 2016 中 手动 安装 许可 密 钥 .默认 情况 下 ， 
Windows Server 2016 包含 一 个 GVLK(Generic Volume License Key， 通 用 批量 许可 密 钥 )， 可 以 是 KMS 激活 或 基于 
Active Directory 的 激活 。 

极 少 数 情况 下 ， 由 于 有 人 无 意 中 更 改 了 密 钥 ， 批 量 激活 会 失败 。 可 将 密 钥 改 回 正确 的 GVLK. 

有 关 GVLK 的 列表 ， 请 参阅 网 址 https://technet.microsoft.com/en- us/library/jj612867(v = ws.11).aspx。 


LL 
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有 关 批 量 激活 的 详细 信息 , 请 参见 Planning for Volume Activation， 网 址 是 https://technet.microsoft.com/en-us/library/ 
dd996S89.aspX。 


1.3 ”自动 安装 Windows Server 2016 


为 简化 Windows Server 2016 在 大 型 组 织 中 的 安 狼 ， 应 该 目 动 完成 这 个 过 程 。 目 动 化 部 闭 过 程 减少 了 部 章 新 服 
务 嚣 所 需 的 管理 工作 。 因 此 ， 不 必 人 花费 30 一 60 分 钟 执行 安 浪 ， 而 可 局 动 自 动 化 流程 ， 然 后 走 开 ， 直 到 完成 安 六 。 

目 动 化 部 看 也 提供 了 一 致 的 结果 。 可 以 定义 要 安装 的 功能 集合 。 例如， 可 目 动 局 用 BitLocker 来 加 密 本 地 硬盘 。 
在 手动 安装 时 ， 需 要 在 部 署 服务 器 后 将 BitLocker 作为 一 个 单独 的 进程 局 用。 

Windows Server 2016 部 署 可 以 通过 几 种 不 同 的 方式 实现 自动 化 。 有 些 选 项 没有 额外 成 本 , 而 为 一 些 选 项 则 使 用 
需要 购买 的 工具 。 如 果 环 境 是 虚拟 化 的 ， 就 将 有 额外 选项 。 


1.3.1 Sysprep 和 |maging 


Imaging 是 取 一 台 准 备 好 的 计算 机 并 复制 其 配置 的 过 程 。 准 备 好 的 计算 机 的 映像 存储 在 一 个 文件 中 ， 该 映像 可 
应 用 于 其 他 物理 计算 机 或 虚拟 机 。 

安装 Windows Server 2016 时 ， 会 配置 特定 于 系统 的 信息 ， 如 计算 机 名 称 、 硬 件 信息 和 本 地 机 器 内 部 安全 标识 
符 (SID)。 这 些 特定 于 系统 的 配置 项 需要 作为 映像 过 程 的 一 部 分 删除 。 删 除 这 些 项 时 ， 映 像 可 应 用 于 运行 不 同 硬 件 
的 计算 机 上 。 

Sysprep(System Preparation) 实 用 程序 包含 在 Windows Server 2016 中 ， 用 于 为 映像 准备 操作 系统 。Sysprep 删除 
计算 机 名 称 、 硬 件 信 息 和 SID。 然 后 ， 当 映像 应 用 到 新 计算 机 上 时 ， 将 重新 创建 这 些 项 。 


Sysprep 选项 
Sysprep.exe 存储 在 C:\Windows\System32\Sysprep 中 。 运 行 市 有 图 形 界 面 的 Sysprep 时 ， 需 要 选择 一 个 系统 清理 
操作 ， 如 图 1.7 所 示 。 系 统 清理 操作 控制 Sysprep 运行 和 操作 系统 重 局 后 发 生 的 事情 。 


System Preparation Tool 3.14 


System Preparation Tool (Sysprep) prepares the madhine for 
hardware independence and deanup. 


System Cleanup Action 
Enter System Out-of-Box Experience (DOEE) 
Generalize 


shutdown Options 
| shutdown 


1.7 ”Sysprep 图 形 界面 


两 个 系统 清理 操作 是 : 

令 ”Enter System Out-of-Box Experience (OOBE)。 此 选项 使 Windows 运行 安装 Windows 期 间 发 生 的 OOBE 过 程 。 
在 OOBE 过 程 中 ， 会 生成 一 个 新 的 计算 机 名 称 ， 提 示 输 入 新 的 管理 员 密 和 码 。 

令 ”Enter System Audit Mode (进入 系统 审计 模式 )。 此 选项 用 于 映像 的 维护 。 操 作 系 统 局 动 后 ,可 执行 诸如 添加 
驱动 程序 和 更 新 的 任务 ， 而 不 是 运行 OOBE。 修 改 映 像 后 ， 可 再 识 将 其 放 入 审计 模式 或 OOBE 中 ， 为 部 
普 做 好 准备 。 

为 部 普 准 备 映 像 时 ， 应 该 选择 Generalize 选项 。 此 选项 删除 计算 机 的 特定 信息 ， 如 计算 机 名 称 、SID 和 硬件 驱 

动 程序 。 

三 个 关闭 选项 如 下 。 

令 ”Quit Sysprep 退出 ， 操 作 系 统 继续 运行 。 需 要 关闭 操作 系统 来 捕获 映像 。 

令 ”Reboot: 计算 机 重新 局 动 ， 并 进入 系统 清理 操作 定义 的 模式 。 如 果 要 捕获 映像 ， 选 择 该 选项 是 不 合适 的 。 
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令 ”Shutdown: Sysprep 完成 后 ， 计 算 机 将 关闭 。 这 是 在 捕获 映像 之 前 应 该 使 用 的 选项 。 


为 虚拟 化 运行 Sysprep 

我 们 正在 为 部 署 创 建 一 个 新 的 Windows Server 2016 映像 。 在 以 前 的 部 署 中 , 使 用 Sysprep 之 后 遇 到 的 一 个 问题 
是 ， 新 映像 要 花 很 长 时 间 才 能 检测 到 硬件 。 当 部 署 许多 服务 器 时 ， 这 会 显著 减 慢 部 署 过 程 。 

要 加 快 每 个 VM 的 初始 配置 ,可 以 在 运行 Sysprep 时 使 用 /mode:vm 选项 。 这 将 防止 后 续 的 部 署 删除 硬件 驱动 程 
序 。 保 留 硬 件 驱 动 程序 ， 会 显著 加 快 新 虚拟 机 的 部 署 过 程 . 

使 用 /mode:vm 时 ， 映 像 将 特定 于 监控 程序 。 因 此 ， 从 Hyper-V 虚拟 机 创建 的 映像 不 适合 在 VMware 监控 程序 
上 使 用 。 


DISM 


许多 工具 都 可 用 来 执行 映像 。 其 中 一 些 工 具 人 允许 捕获 磁盘 上 的 所 有 分 区 ， 而 有 些 工 具 一 次 只 处 理 一 个 分 区 。 
Windows Server 2016 中 的 部 署 映 像 服 务 和 管理 (Deployment Image Servicing and Management，DISM) 工 具 一 次 映像 
一 个 分 区 的 内 容 ， 并 将 映像 存储 在 .wim 文件 中 。 它 是 一 个 基于 文件 的 映像 工具 。 

DISM 使 用 的 .wim 格式 可 以 在 一 个 文件 中 存储 多 个 映像 。 在 .wim 文件 中 存储 多 个 映像 时 ， 使 用 重复 数据 删除 。 
如 果 同 一 文件 有 多 个 副本 ， 则 .wim 中 只 存储 一 个 副本 ， 但 该 副本 对 文件 中 包含 的 每 个 映像 都 可 用 。 

当 多 个 映像 存储 在 单个 .wim 文件 中 时 ， 需 要 引用 文件 中 映像 的 索引 号 或 名 称 。 索 引号 基于 映像 添加 到 文件 的 
顺序 。 当 每 个 映像 添加 到 文件 中 时 ， 指 定 其 名 称 。 

要 使 用 DISM 捕获 操作 系统 上 映像， 必须 关闭 操作 系统 ， 以 确保 没有 打开 的 文件 。 要 运行 DISM， 需要 使 用 另 一 
种 操作 系统 来 引导 计算 机 。Microsoft 提供 Windows PE 作为 Windows 评估 和 部 署 工具 包 (Assessment and Deployment 
Kit，ADK) 的 一 部 分 。 可 以 配置 Windows PE 从 USB 驱动 器 或 其 他 引导 介质 中 引导 。 

有 关 Windows ADK 和 创建 Windows PE 引导 介质 的 更 多 信息 ， 请 参见 Download WinPE(Windows PE)， 网 址 是 
https://docs.microsott.com/en-us/Wwindows-hardware/manuftacture/desktop/download-winpe--windows-pe。 

从 Windows PE 介质 中 引导 时 ， 可 运行 DISM 来 捕获 或 应 用 映像 。 通 第 ， 映 像 存 储 在 网 络 驱 动 器 上 ， 它 们 也 可 
存储 在 本 地 介质 上 ， 比 如 USB 驱动 器 。 

如 果 将 本 地 C: 驱 动 器 捕获 到 网 络 驱 动 器 Z: 上 的 .wim 文件 ， 就 使 用 以 下 语法 : 

Dism /Capture—-Image /ImageFile:Z2:\Win2016.wim /CaptureDir:C: /Name:Win?2016Image 

要 将 映像 应 用 到 本 地 C: 驱 动 器 上 ， 需 要 使 用 以 下 语法 : 

Dism /Mply-Image /ImageFile:2:\Win2016.wim /Name:Win2016Image /ApplyDir:C:\ 

除了 捕获 和 部 署 映像 之 外 ， 还 可 以 使 用 DISM 来 挂 载 和 修改 存储 在 .wim 文件 中 的 映像 。 可 进行 简单 的 修改 ， 
如 添加 、 删 除 或 编辑 文件 。 还 可 对 映像 应 用 Windows Updates 或 安装 新 驱动 程序 。 
1.3.2 ”Windows 系统 映像 管理 器 

目 动 化 安装 Windows Server 2016 的 一 种 方法 是 使 用 answer 文件 answer 文件 问 Windows Server 2016 安装 过 程 
提供 信息 ， 修 改 默认 的 安装 选项 。 例 如 ， 可 创建 一 个 answer 文件 ， 该 文件 定义 在 安装 期 间 创 建 的 磁盘 分 区 、 安 装 
语言 和 本 地 管理 员 和 密码 ， 以 避免 在 部 四 期 间 与 安装 程序 交互 。 

用 于 创建 answer 文件 的 工具 是 Windows 系统 映像 管理 器 (System Image Manager, SIM), 它 包含 在 Windows 
ADT 中 。 

除了 创建 简单 的 answer 文件 之 外 ，Windows SIM 还 创建 了 一 个 用 于 部 奢 的 分 发 共享 文件 ( 见 图 1.8)。 在 分 发 共 
享 文件 中 ， 可 存储 用 于 安装 的 .wim 文件 (从 安 六 介质 复制 或 目 定 义 )、 部 闭 期 间 要 添加 的 驱动 程序 和 部 轩 期 间 要 添加 
的 更 新 。 注 意 ， 在 部 罩 期 间 添 加 驱动 程序 和 更 新 ， 可 以 避免 更 新 .wim 文件 中 的 映像 。 

Windows Server 2016 的 安装 过 程 有 多 个 配置 阶段 。 在 安装 过 程 的 特定 阶段 ， 可 应 用 无 人 值守 的 安装 设置 。 添 加 
一 个 设置 时 ， 系 统 可 能 提供 多 个 配置 阶段 选项 ， 可 将 其 添加 到 这 些 选项 中 。 需 要 确保 将 设置 添加 到 场景 使 用 的 配置 
阶段 。 配 置 阶段 参见 表 1.3。 
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图 18 Windows SIM 


表 1.3 配置 阶段 
配置 阶段 说 明 
Windows PE 这 些 设置 是 在 运行 setup.exe 时 、 安 装 Windows 操作 系统 之 前 实现 的 。 可 以 包括 setup.exe 所 需 的 设置 ， 
例如 语言 和 键盘 设置 。 还 可 以 包括 磁盘 分 区 信息 。 在 使 用 Sysprep 准备 好 映像 后 ， 不 会 使 用 这 些 设置 
这 个 配置 阶段 复制 并 应 用 驱动 程序 和 Windows 更 新 。 对 于 Windows Server 2016 不 包含 的 存储 驱动 器 等 


offlineServicing : | z cs 
专用 人 硬件， 可 能 需要 添加 驱动 程序 。 在 使 用 Sysprep 准备 好 映像 后 ， 不 会 使 用 这 些 设置 

Generalize 在 Sysprep 中 选择 Generalize 选项 时 ， 应 用 这 些 设置 。 运 行 setup.exe 时 不 使 用 这 些 设置 

Specialize 这 些 设置 是 在 Windows 检测 到 新 的 硬件 、 生 成 SID 之 后 应 用 的 

AuditSystem 这 些 设置 仅 在 运行 Sysprep 后 进入 审计 模式 时 应 用 

AuditUser 这 些 设置 仅 在 运行 Sysprep 后 进入 审计 模式 时 应 用 

oobeSystem 这 是 提示 用 户 登 录 前 的 最 后 一 个 配置 阶段 


有 关 Windows 配置 阶段 和 使 用 answer 文件 的 详细 信息 ,请 参见 Windows Setup Configuration Passes， 网 址 是 
https://docs.microsott.com/en-us/windows-hardware/manufacture/desktop/windows-setup-confieuration-passes。 


1.3.3 Windows 部 署 服务 


Windows 部 署 服务 (Windows Deployment Services，WDS) 是 Windows Server 2016 中 包含 的 一 个 服务 器 和 角色， 用 
于 在 网 络 上 部 羞 操作 系统 映像 。 可 使 用 WDS 在 新 服务 器 或 新 虚拟 机 上 安装 Windows Server 2016。 其 他 一 些 部 闭 方 
法 也 使 用 WDS 作为 构建 的 基础 特性 集 。 

预 引 导 执 行 环 境 (Preboot Execution Environment，PXE) 是 一 个 允许 所 有 新 计算 机 直接 从 网 络 上 局 动 的 系统 。PXE 
局 动 程序 通过 网 络 下 载 操作 系统 。WDS 使 用 PXE 下 载 一 个 小 型 操作 系统 映像 ， 并 应 用 或 捕获 映像 。 表 1.4 列 出 了 
WDS 使 用 的 映像 类 型 。 


表 1.4 WDS 映像 类 型 
映像 类 型 说 明 
该 映像 基于 Windows PE， 通 过 PXE 引导 发 送 到 计算 机 ， 以 应 用 包含 所 需 操 作 系 统 的 映像 。Windows Server 
引导 (Boob) 2016 安装 媒体 中 包含 的 boot.wim 文件 显示 了 一 个 菜单 ， 人 允许 从 WDS 服务 器 中 选择 要 安装 的 介质 。 如 果 需 
要 ， 可 通过 硬件 所 需 的 网 络 或 存储 驱动 器 定制 boot.wim 文件 
捕获 该 映像 基于 Windows PE， 通 过 PXE 引导 发 送 到 计算 机 ， 以 捕获 包含 计算 机 操作 系统 的 映像 。 在 捕获 映像 之 
(Capture) 前 ， 需 要 运行 Sysprep 
安装 (Install) 该 映像 包含 要 部 署 的 操作 系统 .引导 映像 用 于 部 署 安装 映像 。 捕 获 映 像 用 于 收集 安装 映像 并 将 其 存储 在 WDS 
服务 器 上 
发 现 该 映像 是 一 个 包含 Windows PE 的 可 引导 ISO。 这 个 ISO 可 用 于 不 支持 PXE 引导 的 计算 机 上 的 可 移动 介质 。 
Discover) 由 于 几乎 所 有 计算 机 都 支持 使 用 PXE 引导 ， 因 此 很 少 需要 该 映像 


第 1 章 Windows Server 2016 的 安装 与 管理 | 11 


安装 WDS 

WDS 的 典型 部 署 需要 Active Directory、 DNS 和 DHCP。Active Directory 用 于 身份 验证 , WDS 服务 器 是 域 成 员 。 
在 部 前 过 程 中 ， 要 部 前 到 的 客户 机 使 用 DNS 和 DHCP。 

在 安装 WDS 服务 器 角色 时 ， 系 统 会 提示 选择 Deployment Server 和 Transport Server 角色 服务 。 应 该 选择 这 两 个 
角色 服务 来 拥有 一 个 功能 齐全 的 WDS 服务 器 。Transport Server 角色 服务 可 以 单独 在 实验 室 环境 中 用 于 多 播映 像 ， 
但 这 并 不 和 常见。 

安装 完成 后 ， 必 须 配置 WDS。 配 置 WDS 的 步骤 如 下 : 

(1) 在 Server Manager 中 打开 Windows Deployment Services 工具 。 

(2) 在 Windows Deployment Services 中 ， 单 击 Servers， 右 击 要 配置 的 服务 器 ， 然 后 单 击 Configure Server。 

(3) 在 Windows Deployment Services Configuration Wizard 的 Before You Begin 页 面 上 ， 单 击 Next 按钮 。 

(4) 在 Install Options 页 面 上 ， 单 击 Integrated with Active Directory 并 单 击 Next 按钮 。 

(5) 在 Remote Installation Folder Location 页 面 上 ， 输 入 存储 所 有 了 映像 的 路 径 ， 并 单 击 Next 按钮 。 因 为 这 个 目录 
可 能 会 变 得 非常 大 ， 所 以 它 不 应 该 存储 在 C: 驱 动 器 上 。 

(6) 在 PXE Server Initial Settings 页 面 (如 图 1.9 所 示 ) 上 ， 选 择 服 务 器 将 啊 应 的 计算 机 选项 ， 并 单 击 Next 按钮 。 
作为 最 佳 实践 ， 应 该 选择 Do not respond to any client computers。 配 置 映 像 后 ， 可 将 服务 器 配置 为 Respond only to 
known client computers 或 Respond to all client computers (known and unknown)。 啊 应 未 知 设备 时 ， 可 以 选择 选项 ， 要 
求 得 到 管理 员 的 批准 。 


ry Windows Deployment Services Configuration Wizard 


PXE Server Initial Settings 


YOU can use these settings to define which cient computers this server will respond to. Known clients are 
the clients that have been prestaged. When the physical computer performs a PXE boot, the operating 
system will be installed based on the settings that you have defined. 


Select one of the following options: 
®) Do not respond to any client computers 
OO Respond onlky to known client computers 
OO Respond to all client computers (known and unknown) 
Require administrator approval for unknown computers. When you select this option, you must 


approve the computers using the Pending Devices node in the snap-in. Approved computers will be 
added to the list of prestaged clients. 


To configure this server, click Neyt. 


图 1.9 PXE Server Initial Settings 页 面 


(7) 在 Operation Complete 页 面 上 ， 单 击 Finish 按钮 。 

Confieuration Wizard 为 服务 器 配置 了 一 些 基 本 选项 ， 你 也 可 查看 服务 器 的 属性 ， 来 访问 其 他 配置 选项 ， 例 如 ;: 
令 ”PXE Response 设置 . 这 些 设置 定义 了 PXE 如 何 啊 应 客户 器 。 如 果 选 择 在 初始 配置 期 间 不 啊 应 任何 客户 端 ， 
那么 在 部 普 映 像 之 前 ， 需 要 在 这 里 允许 啊 应 。 

AD DS 设置 。 这 些 设 置 定 义 了 计算 机 名 称 的 格式 ， 以 及 AD DS 中 的 哪个 组 织 单 元 应 该 存储 计算 机 对 象 。 
Boot 设置 。 这 些 设 置 定义 了 PXE 引导 过 程 的 选项 ， 例 如 是 否 需要 按 F12 键 才能 从 PXE 中 局 动 。 

Client 设置 。 这 些 设 置 允许 提供 客户 端 将 使 用 的 answer 文件 ， 以 及 客户 端 是 否 应 该 连接 到 域 。 

DHCP 设置 。 如 果 WDS 与 DHCP 部 奢 在 同一 人 台 服 务 器 上 ， 则 需要 局 用 这 些 选 项 以 避免 冲突 。 

Multicast 设置 。 这 些 设 置 定 义 了 应 该 使 用 哪个 多 播 地 址 ， 以 及 客户 端 是 否 应 该 根据 速度 分 成 不 同 的 组 。 


信和 和 和 多 
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部 做 映像 


将 映像 部 署 到 计算 机 之 前 ， 需 要 人 至少 在 WDS 服务 器 中 添加 一 个 引导 映像 和 一 个 安装 映像 。 对 于 引导 上 映像， 可 
以 使 用 Windows Server 2016 安装 介质 的 Sources 文件 夹 中 的 boot.wim。 对 于 安装 映像 ， 可 以 ; 
倒 ”使 用 Windows Server 2016 安装 介质 的 Sources 文件 夹 中 的 install.wim 文件 。 这 将 为 安装 介质 上 Windows 
Server 2016 的 每 个 版 本 导入 一 个 映像 ， 如 图 1.10 所 示 。 
令 ”使 用 已 经 创建 的 定制 WIM 文件 。 这 将 为 WIM 文件 中 的 每 个 映像 导入 一 个 映像 。 
令 ”捕捉 预 配置 服务 器 中 的 安装 映像 。 
上 哮 Windows Deployment Services 


和 中 | 由 | 国 | 关 局 | 目 辐 


Ee \Windows Deployment Senvices Win2016 4 Install lmacets) 
日 5 

Y Ha >ervers | Image Name Architecture Status Expanded Size Date Os Version 
v 有 本 CUTIL-01.contoso.com 


v 国 Install Images 国 Windows Server 2016 SERVERSTANDARD x64 Online 14718 MB 1014/..。 10.0.14393 
向 Win2016 团 Windows Server 2016 SERVERDATACENTERCORE Online 8920MB 1014/..， 10.0.14393 


x64 
国 Bootimage 国 Windows Server 2016 SERVERDATACENTER x64 Online “14724MB 10/4..。 10.0.14393 
x64 


小 | Pending Devices 轩 Windows Server aD16 SERVERSTANDARDCORE 
» [EB Multicast Transmissions 
» Ea Drivers 

》 [lm Active Directory Prestaged Devices 


Online 8920 MB T1008. 10.0.14393 


1.10 ”安装 映像 


在 部 署 映像 时 ， 可 以 使 用 单 播 或 多 播 进行 部 署 。 单 播 一 般 用 于 服务 器 ， 人 允许 一 次 部 署 到 一 个 服务 器 。 多 播 对 客 
户 机 更 有 用 ， 因 为 它 多 许 同 时 将 单个 映像 发 送 到 多 个 计算 机 。 

部 署 映像 的 过 程 如 下 : 

(1) 在 计算 机 上 执行 PXE 启动 。 

(2) PXE 把 引导 映像 下 载 到 计算 机 。 

(3) 引导 映像 在 计算 机 上 启动 ， 并 显示 一 个 菜单 。 

(4) 从 菜单 中 选择 要 部 署 的 安装 映像 。 

(5) 把 选择 的 安装 映像 复制 到 计算 机 。 

(6) 计算 机 重新 启动 ， 并 完成 配置 。 


1.3.4 ”微软 部 署 工 具 包 


要 帮助 自动 化 部 署 Windows Server 2016， 可 以 使 用 MDT(OMicrosoft Deployment Toolkit)。MDT 主要 用 于 自动 化 
果 面 操作 系统 (如 Windows 10) 的 部 署 ， 也 适用 于 Windows Server 2016。 

目 动 化 安装 Windows Server 2016 的 一 个 困难 部 分 是 构建 answer 文件 。 有 许多 设置 需要 配置 ， 才 能 完全 目 动 化 
安装 ， 不 需要 用 户 输 入 。MDT 会 目 动 创建 answer 文件 。 在 部 普 过 程 中 ， 还 可 以 使 用 MDT 注入 驱动 程序 。 

MDT 使 用 任务 序列 来 定义 需要 执行 的 操作 。 在 任务 序列 中 ， 可 以 配置 详细 信息 ， 例 如 磁盘 应 该 如 何 分 区 。 
任务 序列 还 定义 了 添加 驱动 程序 的 位 置 。 还 可 以 定义 如 何 生 成 计算 机 名 称 。 例 如 ， 可 以 根据 计算 机 序列 号 配置 计 
算 机 名 称 。 

可 以 选择 为 任务 序列 创建 一 个 Lite Touch ISO。 如 果 将 这 个 ISO 作为 引导 映像 添加 到 WDS， 则 可 以 将 操作 系统 
自动 部 署 到 新 计算 机 或 虚拟 机 上 。Lite Touch ISO 上 自动 部 署 任 务 序列 中 定义 的 映像 。 

如 果 组 织 中 有 System Center Configuration Manager， 则 可 以 实现 零 接 触 (Zero Touch) 部 署 。 老 接触 部 署 可 以 从 
Configuration Manager 中 推出 ， 而 不 需要 用 户 在 部 署 它 的 服务 器 或 虚拟 机 的 控制 合 上 操作 。 

有 关 MDT 的 详细 信息 ， 请 参阅 Microsoft Deployment Toolkit， 了 网址 是 https://technet.microsoft.com/en-us/ windows/ 
dn473741.aspxX。 
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1.3.5 虚拟 化 的 部 署 解决 方案 


大 多 数 数据 中 心 现 在 都 是 虚拟 化 的 ， 这 提供 了 目 动 创 建 和 配置 虚拟 机 的 额外 选项 。 不 需要 进行 映像 处 理 ， 而 可 
以 复制 市 有 已 准备 好 的 操作 系统 的 虚拟 硬盘。 操作 系统 必须 使 用 Sysprep 进行 准备 ， 束 像 执行 映像 一 梓 。 

可 以 运行 Sysprep 而 不 是 执行 映像 过 程 ， 来 复制 虚拟 机 的 虚拟 硬盘 。 然 后 ， 可 以 使 用 复制 的 虚拟 硬盘 创建 一 个 
新 的 虚拟 机 。 使 用 更 高 级 的 工具 ， 可 以 对 包括 虚拟 硬件 配置 的 虚拟 机 进行 更 高 级 的 部 罩 。 

如 果 使 用 的 是 Hyper-V ,那么 System Center 的 VMM(Virtual Machine Managen 可 用 来 管理 Hyper-V 主机 和 虚拟 机 .。 
在 VMM 中 ， 可 以 创建 虚拟 机 模板 ， 并 将 它们 存储 在 库 中 。 然 后 ， 当 需要 部 普 新 服务 器 时 ， 可 以 使 用 虚拟 机 模板 。 

有 关 VMM 的 更 多 信息 ,请 参阅 Virtual Machine Manager Documentation, 网 址 是 https://docs.microsoft.com/en-us/ 
system-center/vmm/。 


Hyper-V 虚拟 机 的 激活 

我 们 正在 为 Windows Server 2016 虚拟 机 创建 一 个 新 映像 ， 并 希望 新 映像 的 激活 尽 可 能 简单 。 永 远 不 希望 在 部 
署 期 间 手动 输入 产品 密 钥 。 还 希望 确保 在 网 络 连 接受 限 的 测试 环境 中 , 可 以 在 没有 其 他 基础 设施 的 情况 下 进行 激活 。 

如 果 为 监控 程序 使 用 Windows Server 2016 数据 中 心 版 ， 就 可 以 选择 使 用 Automatic Virtual Machine 
Activation(AVMA) 来 激活 运行 Windows Server 2016 或 Windows Server 2012 R2 的 虚拟 机 。Hyper-V 主机 的 激活 可 有 
效 地 用 来 支持 虚拟 机 的 激活 。 

当 虚 拟 机 使 用 AVMA 密 钥 时 ， 它 通过 Hyper-V 主机 直接 激活 。 即 使 虚拟 机 没有 网 络 连接 ， 也 能 正常 工作 。 需 
要 在 虚拟 机 中 输入 AVMA 密 钥 。AVMA 没有 最 小 的 激活 阅 值 . 

要 获得 AVMA 密 钥 列表 ， 请 参见 Automatic Virtual Machine Activation， 网 址 是 https://technet.microsoft.com/en 
-us/library/dn303421(v = ws.11).aspx. 


如 果 使 用 VMware ESXi 作为 虚拟 化 主机 ， 就 可 以 使 用 VMware vSphere 客户 疹 和 vCenter Server， 通 过 模板 来 
管理 新 服务 器 的 部 署 。vSphere 客户 机 用 于 初始 化 和 管理 流程 ， 而 VCenter Server 存储 模板 。 
有 关 vSphere 客户 并 和 vCenter Server 的 更 多 信息 ， 请 参阅 VMware 网 站 ， 网 址 是 http:/www.vmware.com。 


1.4 向 用 的 管理 工具 


可 使 用 Windows PowerShell 管理 Windows Server 2016 的 几乎 所 有 方面 , 还 有 许多 管理 员 喜 欢 使 用 的 图 形 工 具 。 
Server Manager 是 主要 的 图 形 化 管理 工具 ， 可 用 来 配置 Windows Server 2016， 局 动 其 他 管理 工具 。Compnuter 
Management、Device Manager 和 Task Scheduler 也 是 用 于 服务 器 管理 的 常用 图 形 工具 。 


1.4.1 Server Manager 概述 


Server Manager 是 Windows Server 2016 中 图 形 化 管理 工具 的 起 点 。 它 提供 了 一 个 界面 来 执行 一 些 营 见 的 安装 后 
任务 ， 以 及 局 动 其 他 图 形 化 管理 工具 的 链接 。 还 可 以 使 用 Server Manager 添加 或 删除 服务 器 角色 和 特性 。 

一 个 Server Manager 控制 台 可 用 来 管理 运行 Windows Server 2016 的 多 台 计 算 机 。 这 人 允许 配置 单个 Server Manager 
中 央 实 例 ， 以 集中 管理 多 个 服务 器 。 例 如 ， 可 以 在 运行 Windows 10 的 计算 机 上 安装 Remote Server Administration 
Tools( 远 程 服务 器 管理 工具 )， 并 集中 管理 运行 Windows Server 2016 的 所 有 计算 机 。 

在 Windows Server 2016 的 Server Core 安装 中 ， 没 有 用 于 管理 的 图 形 界 面 。 但 是 ， 可 以 使 用 Server Manager 远 
程 省 理 Server Core。 

要 使 用 Server Manager 远程 党 理 服 务 器 , 需要 在 远程 服务 器 上 局 用 Windows PowerShell remoting。 这 在 Windows 
Server 2016 上 是 默认 启用 的 。 

要 将 服务 器 添加 到 Server Manager， 请 执行 以 下 步骤 : 

(1) 在 Server Manager 中 ， 单 击 Manage， 有 再 单 击 Add Servers。 

(2) 在 Add Servers 窗口 中 ， 在 Active Directory 选项 卡 上 键入 服务 器 的 名 称 ， 并 单 击 Find Now。 

(3) 双击 服务 器 名 称 并 单 击 OK 按钮 。 

(4) 验证 服务 器 是 否 列 在 All Servers 视图 中 。 
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1. 角色 和 特性 

Windows Server 2016 的 功能 分 为 朋 色 和 特性 。 角 色 为 客户 端 执 行 特定 的 服务 ， 例 如 Active Directory Domain 
Service、DNS 服务 器 、DHCP 服务 器 或 Web 服务 器 。 特 性 通 稼 是 文 持 这 些 角色 但 不 回 客 户 站 提供 服务 的 软件 。 安 
装 服 务 器 角色 时 , 通常 会 提示 安装 所 需 的 其 他 特性 。 特性 的 一 些 例 子 是 .NET Framework 4.6 Features、 BitLocker Drive 
Encryption、Failover Clustering 和 Windows Server Backup。 

要 安装 角色 和 特性 ， 请 遵循 以 下 步 又 : 

(1) 在 Server Manager 中 ， 单 击 Manage， 并 单 击 Add Roles and Features。 

(2) 在 Add Roles and Features Wizard 的 Before You Begin 页 面 上 ， 单 击 Next 按钮 。 

(3) 在 Select Installation Type 页 面 上 , 选择 Role-Based or Feature-Based Installation, 并 单 击 Next 按钮 .Remote Desktop 
Services Installation 选项 用 于 配置 一 个 或 多 个 服务 器 ， 以 提供 对 基于 会 话 的 时 面 或 虚拟 时 面 的 访问 。 

(4) 在 Select Destination Server 页面 上 ， 选 择 要 安装 角色 和 特性 的 服务 器 ， 然 后 单 击 Next 按钮 。 

(5) 在 Select server roles 页 面 上 (如 图 1.11 所 示 )， 选 择 要 安装 的 任何 服务 器 角色 并 单 击 Next 按钮 。 如 果 提 示 添 
加 所 需 的 特性 ， 请 单 击 Add Features。 


局 Add Roles and Features Wizard 


DESTINATION 守卫 二 记忆 


select server roles 有 C-DC-01 


Before YOU Begin select one or more roles to install on the selected 5erwer， 
Installation Type Reles Description 
Server Selection , . A we Di i i 
. [LL] Active Directory Certificate Services 贞 Active Directory Domain Jemvices 
Vv) rT IAD DS) stores Intormation abeut 
器 Active Directory Federation Services objects on the network and makes 
[LL] Actiwe Directory Lightweight Directory Services this information available I 
AD Ds DL] Active Directory Rights Management Services and network administrators. AD DS 


_ _ 口 Deviee Health Attestation Uses dormain controllers to 9me 
contirmation 口 DHcp Server network users access to permitted 


品 DNS Server resources aryWahere on the retwork 

器 Fax Server through a single logon process. 
六 [ 夯 | File and Storage Services (1 of 12 installed) 

[|] Hest Guardian Service 

LL] Hyper-Y 

广 ] MultiPoint Services 

OD Network Controller 

LDL] Network Policy amd Aecess Services 

回 ] Print and Document Services 

LDL] Remate Access 

LL | Remote Desktop Services 


Faatures 


[OD Volume Activation Services 


L |] Web Server (MIS) 


[Cee] 


图 1.11 服务 器 角色 
(6) 在 Select features 页 面 (如 图 1.12 所 示 ) 上 ， 选 择 要 安装 的 任何 特性 ， 并 单 击 Next 按钮 。 


所 Add Roles and Features Wizard 


DESTINATION SERWER 


Select features coc0 


Before You Begin Select one or more features to install on the selected server, 


Installation Type Features Description 


Sorver Selaction NET Framework 3.5 Features 上 NET Framework 了 5 combines the 
er ver Roles b | 画 | .NET Framevork 4.6 Features (2 of 7 installed) Pe of the .NET Framework 20 
tL] Background Intelligent Transfer Service (BITS) APls with new technolog'es for 
回 BitLocker Drive Encryption banlding applcations that offer 
回 ] BitLacker Netwark Unleck appealing user nterfaces, protect 
DD BranchCache YoOUr Customers personal dentity 
口 Ciient for NFS information, enable seamless and 
口 Containers 5ecure COMmmMunNicaton, and provide 
四 Data Center Bridging the ability to modal a range of 
口 Direct Play business processes, 
[| Enhanced Storage 
L] Failewer Clustering 
“| Group Policy Management (Installed) 
L] Hest Guardian HYPer-V support 
LL] VO Quality of Service 
DOD] Ils Hostable Web Core 
LDL] Imtermet Printirg Client 
器 IP address Management (IPAM) Server 
[| iSNS Server service 


| 


图 1.12 特性 
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(7) 完成 所 添加 的 服务 器 角色 所 需 的 任何 其 他 页 面 。 一些 服务 器 角色 为 和 同 导 添 加 页 面 ， 以 收集 额外 的 配置 
信息 。 

(8) 在 Confirmation 页 面 上 ， 单 击 Install 按钮 。 

(9) 在 Installation Progress 页 面 上 ， 单 击 Close 按钮 。 如 果 在 安装 完成 之 前 关闭 同 导 ， 安 装 将 在 后 台 继 续 。 

安装 服务 器 角色 和 特性 之 后 ， 系 统 可 能 提示 你 重新 局 动 服务 器 。 有 些 服 务 器 角色 在 安装 后 需要 额外 的 配置 。 大 
多 数 情 况 下 ， 如 果 服 务 器 角色 需要 额外 的 配置 ，Server Manager 会 发 出 通知 ， 并 提供 一 个 链接 来 开始 额外 的 配置 。 

对 于 某 些 服务 器 和 角色， 在 Server Manager 中 添加 了 管理 和 监视 功能 。 这 可 以 在 最 左边 的 导航 亲 单 中 访问 。 


2. 监控 

Server Manager 提供 了 高 级 监控 功能 ， 如 果 存 在 需要 解决 的 问题 ， 可 以 使 用 这 些 功能 快速 识别 。Dashboard 视 
图 (如 图 1.13 所 示 ) 提 供 了 服务 器 和 服务 器 角色 的 概述 。 如 采 存 在 需要 检查 的 问题 ， 角 色 或 服务 器 将 以 红色 显示 。 单 
击 它 们 ， 可 以 进一步 查看 标识 的 区 域 。 


i Configure this local server 


dd roles and features 
醒 同 e amd Storage Services b 


LEARIN KORE 


ROLES AND SERVER GROUPS 
Rales: 2 serer groups: | | Servers totak i 


全 ) Banagealblrty 
Ewenits 
Services 
Performance 


四 BPA results 


图 1.13 ”Dashboard 视图 


Local Server 视图 提供 了 服务 器 配置 的 概述 和 一 些 监 控 信 息 。 可 用 的 监测 资料 包括 : 

令 ”Events。 本 部 分 列 出 事件 日 志 中 的 警告 和 错误 事件 。 

令 ”Services。 该 区 域 显示 服务 的 状态 ， 允 许 停 止 和 局 动 服务 。 

令 ”BestPractices Analyzer (BPA)。 这 个 区 域 显示 BPA 扫 摘 的 结果 。 与 大 多 数 其 他 监控 不 同 ， 这 个 区 域 显 示 了 
潜在 的 配置 问题 ， 而 不 仪 是 功能 问题 ， 如 服务 失败 。 需 要 触发 BPA 扫 摘 来 收集 结果 。 

令 ”Performance。 这 个 区 域 根据 可 配置 的 阀 值 显示 CPU 使 用 情况 和 内 存 的 性 能 警报 。 默 认 情 况 下 不 启用 该 
功能 。 

令 ”Role and Features。 这 个 区 域 显示 安装 在 服务 器 上 的 服务 器 角色 和 特性 。 

All Servers 视图 显示 与 Local Server 视图 相同 的 信息 类 型 ， 但 汇总 由 这 个 Server Manager 实例 监视 的 所 有 服务 

髓 的 信息 。 


1.4.2 Computer Management 视图 


如 图 1.14 所 示 ，Compnuter Management( 计 算 机 管理 ) 视 图 包含 许多 用 于 管理 和 监视 Windows Server 2016 的 有 用 
工具 。 这 些 工 具 包 括 Task Scheduler、Event Viewer、 Shared Folders、Performance、Device Manager 和 Disk Management 
等 。 这 些 工具 可 从 Server Manager 的 Tools 菜单 中 单独 运行 , 也 可 通过 同 Microsoft Management Console (MMOC) 中 添 
加 管理 单元 来 运行 ， 但 是 Computer Management 视图 提供 了 一 个 访问 它们 的 中 心 位 置 。 
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此 Computer vlanmaeernent 
Flle Achon Wew Halp 
提 轩 | 血 国 | 四 局 | 回国 | 卉 
明 i Management (Locall| share Na me Folder Path Type 普 忆 |iEnt Connections Description 
vk 0 国 ADMIN5 CNWindows Windows 0 Remote Admin 
S Ee C$ GN Windows Default share 
g 十 ne 加 pcs Windowe Remots IPC 
| 本 
aa 国 NETLOGON CNWindows\SVYSV.。 Windows Logon server share 
区 | SYSYOL CWindowa oY. Windows Logon server share 


hore Actions 


上 暇 3 Shares 
区 | Sessions 
三] 名 Pen Piles 
和 的 Performance 
起 Device Manager 
w BS Storage 
》 入 Windows Server BackuF 
EP Disk Managerment 
>» By Services and Applications 


图 1.14 ”Computer Management 视图 


1.4.3 ”Device Manager 人 钢 图 

使 用 Device Manager 视图 (如 图 1.15 所 示 ) 可 以 查看 Windows Server 2016 中 的 硬件 并 排除 故障 。 如 果 服 务 器 是 虚 
拟 化 的 ， 就 很 少 需 要 对 人 硬件 驱动 程序 进行 故障 排除 。 这 个 工具 主要 用 于 物理 服务 器 。 

可 在 设备 管理 器 中 执行 的 一 些 任 务 包括 : 


合 


S 


查看 设备 属性 。 在 设备 的 属性 中 ， 可 人 盘 看 加 载 的 驱动 程序 ， 并 查看 许多 设备 属性 ， 如 硬件 ID( 即 插 即 用 ， 
通过 它 来 识别 设备 并 加 载 适 当 的 驱动 程序 )。 

识别 未 知 设备 。 如 果 Windows Server 2016 无 法 定位 人 硬件 的 驱动 程序 ， 它 就 显示 为 一 个 未 知 设备 。 这 在 专 
用 硬件 中 很 常见 ,例如 存储 控制 器 。 识 别 出 未 知 设备 后 ， 可 为 它 加 载 驱动 程序 。 必 要 的 驱动 程序 通常 是 从 
制造 商 那 里 获得 的 。 

更 新 驱动 程序 。 如 果 人 硬件 供应 商 没 有 将 设备 驱动 程序 更 新 作为 能 目 动 安 闭 它 们 的 可 执行 文件 分 肥 ， 就 可 
以 在 Device Manager 中 更 新 驱动 程序 。 设 备 驱 动 程序 的 安装 基于 .inf 文件 ， 该 文件 定义 了 需要 加 载 的 其 
他 文件 。 

回 滚 驱 动 程序 。 如 果 在 驱动 程序 更 新 后 硬件 运行 不 正常 ， 可 将 设备 驱动 程序 回 滚 到 以 前 的 版 本 。 

禁用 硬件 。 在 罕见 的 情况 下 ， 如 果 硬 件 出 现 故障 ， 在 Device Manager 中 共用 它 可 以 防止 它 干 扰 服 务 器 操 
作 。 进 行 故 障 排除 时 可 再 次 局 用 它 。 
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图 1.15 Device Manager 视图 


1.44 Task Scheduler 
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Task Scheduler( 任 务 调 度 程 序 ) 如 图 1.16 所 示 ， 由 Windows Server 2016 用 于 执行 许多 后 人 台 维 护 任务 。 大 多 数 情 况 
下 ， 不 需要 与 操作 系统 调度 的 任务 进行 交互 。 如 果 使 用 Task Scheduler， 则 更 有 可 能 用 它 来 运行 自己 的 脚本 ， 以 完成 
调度 好 的 维护 任务 。 例 如 ， 可 创建 一 个 调度 好 的 任务 ， 以 便 在 日 志文 件 超 过 30 天 后 从 Internet 信息 服务 中 删除 它们 。 


Computer Managenment 
Fle Action View Hap 
和 轩 | 雪 加 | 四 | 于 
Bl Cemputer Managemert (Locall 
ww 前 ystem Teak 
= 全 Task Scheduler 
» Li Task Scheduler Library 
团 Event Weveer 
+ 区 | 3hared Folders 
» [Performance 
青 [eaee Manager 
Wr 也 qhorage 
) 丹 | Windows Server Backup 
Disk hanagerment 
本 Services nd Applc stigns 


% 触发 器 
% 操作 
% 安全 


sa 
ml 


Name Hatus Tnggers 
CreateEzplor... Running When the task is ereated or moedified 


蕊 


General Triggers Actions Conditions Settings Hisbory 
Name | CreatekxplorerSshellllnelev sted Task 
Loxcation: \ 

上 Author ExplorerShelllneley ated 


[Deseriptiar: 


Se Ur G pt 
When nunnimg the task, wre the fiolloswing user account: 
Bd rinastrator 
Run onby when user is Iogged on 
Run whvet her wiver is |ogged on er rat 
De not store passwaord, The task wall enhy have access to local resdurces 


Run with highest privileges 


图 1.16 Task Scheduler 


训 建 新 任务 时 ， 需 要 考 谍 的 关键 项 是 : 


Mest Run Time Last Run Time 


Last Run Result 


图 Create Basec Task.., 


Create Task,,, 

lImpert Task... 
= Display A Running Tas.,. 
亩 Disable All Tasks History 
间 Mew Folda.,, 

ww 
加 Refresh 
上 Help 


Run 

End 

Disable 

Expert,- 
Ss Properties 
赋 Delete 
加 Halp 


触及 人 右 定义 了 任务 何 时 运行 。 大 多 数 情况 下 ， 任 务 都 安排 在 茶 一 天 、 一 周 的 茶 天 或 一 个 月 的 茶 天 执行 。 然 而 ， 
还 可 以 安排 任务 在 计算 机 尼 动 时 、 用 户 登 录 时 或 记录 特定 事件 时 运行 。 

任务 的 操作 定义 了 任务 要 做 什么 。 有 一 些 旧 选项 可 发 送 电 子 邮 件 或 显示 消 轧 ,但 这 些 都 不 建议 使 用 。 而 应 该 选 
择 局 动 程 序 的 选项 。 需 要 确定 要 运行 的 可 执行 文件 及 其 所 需 的 任何 参数 。 如 果 调 度 一 个 Windows PowerShell 脚本 ， 


就 可 以 指定 PowerShell.exe 作为 程序 ， 并 在 Add arguments 框 中 ] 


Create Basic Task VWizard 


河 | start a Program 


Create a Basic Task 
Tngger Program/'script: 
Actron 

start a Program Bdd arguments (optional): 


start in (optional): 


图 1.17 任务 的 操作 


供 脚 本 的 路 径 ， 如 图 1.17 所 示 。 


Daily Powershell,exe Browse.. | 


Lscrpt\CleanLogs.psl 


< Back Next > 


nce 
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创建 一 个 基本 任务 时 ， 回 导 不 会 要 求 提供 安全 信息 。 默认 情况 下 ， 基 本 任务 配置 为 以 创建 任务 的 用 户 的 时 
份 运行 ， 并 且 只 在 该 用 户 登 录 时 运行 。 图 1.16 显示 了 这 些 设置 。 大 多 数 情况 下 ， 无 论 用 户 是 否 登录 ， 都 希望 任 
务 运 行 。 

作为 最 佳 实践 ， 不 应 该 将 调度 好 的 任务 配置 为 作为 正常 的 用 尸 账 尸 运行 ， 而 应 该 将 任务 配置 为 作为 服务 账 尸 或 
Windows Server 2016 中 定义 的 特殊 账户 运行 。 服 务 账 户 是 用 正确 的 权限 创建 的 、 执 行 任务 的 用 户 账户 。 为 任务 配置 
服务 账户 时 ， 将 提示 输入 服务 账户 的 密码 。 当 密码 作为 任务 的 一 部 分 保存 时 ， 它 允许 任务 访问 网 络 资源 。 如 果 选 择 
不 存储 密码 ， 则 服务 账户 只 能 访问 本 地 资源 。 如 果 需 要 运行 有 管理 权限 的 账户 ， 请 选择 Run with Highest Privileges 
复 选 框 。 

Windows Server 2016 中 的 特殊 账户 不 需要 输入 密码 。 特 殊 账 己 如下: 

令 ”SYSTEM。 此 账户 拥有 所 有 本 地 资源 的 完全 访问 权限 和 网 络 上 计算 机 账户 的 权限 。 如 果 运 行 任务 的 服务 器 

是 域 控 制 器 ， 则 SYSTEM 有 权 修 改 Active Directory 对 象 。 

令 ”SERVICE。 此 账户 拥有 对 本 地 计算 机 的 有 限 权 限 ， 以 及 网 络 的 匿名 权限 。 

令 NETWORK SERVICE。 此 账 尸 拥有 本 地 计算 机 和 网 络 上 计算 机 账户 的 有 限 权 限 。 

有 天 特殊 账户 权限 的 详细 信息 ， 请 参见 Service User Accounts， 网 址 是 https://msdn.microsoft.com/en-us/ 
library/windows/desktop/ms686005 (v=vs.85).aspx. 


1.5 ”发 探 和 故障 诊 潜 工具 


服务 器 或 应 用 程序 不 能 正常 运行 时 ， 需 要 进行 故障 排除 ， 以 确定 问题 的 根源 ， 然 后 解决 它 。 应 用 程序 问题 可 导 
致 弹出 错误 消 轧 ， 或 者 没有 错误 ， 只 是 会 导致 性 能 下 降 。 

如 果 有 错误 消 轧 ， 那 就 是 故障 排除 的 起 点 。 通 第 ， 可 在 搜索 引擎 中 输入 错误 消 轧 ， 以 找 出 可 能 的 解决 方案 。 当 
许多 人 在 互联 网 上 发 布 信 息 时 ， 这 对 常用 软件 很 有 效 。 

越 了 解 试 图 排除 故障 的 过 程 ， 就 越 能 解释 哪些 Web 页 面 提供 了 相关 人 信息。 例如， 如 果 认 为 应 用 程序 服务 器 使 
用 IIS(Internet Information Services) 运 行 在 Windows Server 2016 上 ， 并 且 后 端 是 Microsoft SQL Server 数据 库 ， 这 束 
将 帮助 识别 应 该 查找 错误 消 奶 的 位 置 ， 以 帮助 排除 故障 。 如 果 只 能 在 应 用 程序 的 用 户 界 和 面 中 直接 处 理 错误 消 足 ， 则 
需要 处 理 的 数据 会 少 得 多 。 

对 于 更 专业 的 软件 ， 则 不 太 可 能 在 Internet 上 找到 很 多 故障 排除 信息 。 这 种 情况 下 ， 应 该 联系 供应 商 ， 寻 求 文 
持 。 许 多 供应 商 将 技术 文 持 作为 产品 的 一 部 分 。 即 使 有 打开 支持 用 例 的 成 本 ， 文 持 用 例 的 成 本 通 稍 也 小 于 应 用 程序 
的 停机 成 本 。 

最 难 解决 的 问题 是 性 能 问题 ， 因 为 通 音 没有 销 误 ， 只 是 应 用 程序 的 运行 速度 比 用 户 预 期 的 要 人 慢 。 性 能 问题 通 各 
是 CPU 利用 率 、 内 存 容量 、 网 络 利用 率 和 磁盘 利用 率 方面 的 瓶 开 造 成 的 。 

微软 把 System Center Operations Manager 作为 一 个 功能 齐全 的 系统 来 监测 错误 和 性 能 。 当 出 现 错误 或 系统 利 
用 率 高 时 ，Operations Manager 可 以 生成 警报 ， 并 回 管 理 员 的 特定 组 发 送 通知 。 然 而 ，Operations Manager 有 额外 
的 成 本 ， 并 不 是 所 有 组 织 都 选择 去 实现 它 。Windows Server 2016 中 包含 一 些 工 具 ， 可 用 于 诊断 故障 和 监视 性 能 。 


1.5.1 Event Viewer 


Windows Server 2016 的 大 多 数组 件 都 将 信息 记录 到 事件 日 志 中 , 通过 Event Viewer 可 以 查看 它们 ， 如 图 1.18 所 
示 。 日 志 广 义 地 分 为 Windows 日 志 、 应 用 程序 日 志和 服务 日 志 。Windows 日 志 是 一 组 通用 的 事件 日 志 ， 在 许多 版 
本 的 Windows 中 保持 不 变 ， 用 户 可 能 很 熟悉 这 些 日 志 。 应 用 程序 和 服务 日 志 更 详细 地 摘 述 了 它们 所 包含 的 信息 类 
型 。 每 个 日 志 都 包含 特定 Windows 组 件 (如 DNS 服务 器 ) 的 事件 。 
这 些 Windows 日 志 通 常用 于 排除 故障 : 
令 ”应 用 程序 日 志 。 该 日 志 包 含 来 目 Windows 服务 和 应 用 程序 的 事件 。 安 装 在 服务 器 上 的 应 用 程序 也 经 常 在 
此 日 志 中 写 入 事件 。 例 如 ，Microsoft SQL Server 和 Microsoft Exchange Server 都 将 事件 写 入 该 日 志 。 应 该 
分 析 该 日 志 中 的 错误 和 警告 。 
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图 1.18 ”Event Viewer 窗口 


令 ”安全 日 志 。 此 日 志 包 含 与 审计 资源 访问 和 身份 验证 相关 的 事件 。 默 认 情 况 下 ， 会 有 一 些 基 本 的 审计 ， 也 可 

配置 其 他 审计 。 例 如 ， 可 配置 对 文件 系统 访问 的 审计 ， 以 确定 哪些 用 户 正 在 访问 或 修改 文件 。 

令 ”系统 日 志 。 此 日 志 包 含 操作 系统 级 别 的 事件 。 这 里 包含 关于 驱动 程序 加 载 或 服务 启 停 的 信息 。 

应 该 偶尔 扫描 应 用 程序 日 志和 系统 日 志 ， 以 识别 任何 错误 或 警告 。 这 些 项 可 能 表明 问题 的 出 处 .。 大 多 数 情况 下 ， 
不 需要 阅读 所 有 信息 事件 。 但 在 检查 某 球 软件 执行 的 整个 过 程 时 ,检查 软件 中 的 信息 事件 以 及 错误 和 敬告 事件 是 很 
有 用 的 。 

为 简化 对 日 志 中 事件 的 读 取 ， 可 对 日 志 进 行 筛选 ， 以 显示 来 自 特定 源 的 特定 事件 类 型 和 事件 。 还 可 创建 路 多 个 
事件 日 志 进 行 搜索 的 目 定 义 视图 ， 并 显示 与 指定 条 件 匹 配 的 事件 。 默 认 存 在 一 个 Administrative Events 目 定 义 视 图 ， 
该 视图 显示 来 目 所 有 事件 日 志 的 警告 和 错误 。 一 些 服务 器 角色 还 创建 一 个 目 定 义 视 图 ， 来 显示 与 该 服务 器 角色 相关 
的 事件 。 

每 个 事件 日 志 都 有 一 个 最 大 的 日 志 大 小 。 大 多 数 日 志 的 最 大 日 志 大 小 为 20MB 或 更 大 ， 但 这 在 日 志 之 间 有 所 不 同 。 
可 将 最 大 日 志 大 小 修改 为 合适 的 级 别 。 通 营 ， 和 希望 日 志 包含 足够 的 信息 ， 以 便 排 除 故障 。 因 此 ， 日 志 中 应 该 有 足够 的 空 
间 容 纳 至 少 几 个 星期 的 信息 。 日 志 中 收集 的 数据 量 有 很 大 的 不 同 ， 这 取决 于 服务 器 的 繁忙 程度 以 及 是 否 出 现 了 错误 。 例 
如 ， 安 全 日 志 的 默认 大 小 128 MB 可 能 包含 小 型 组 织 几 个 月 的 事件 ， 而 只 能 包含 大 型 组 织 一 个 小 时 的 事件 。 

默认 情况 下 ， 当 事件 日 志 满 时 , 它 会 开始 宪 冀 旧事 件 ， 以 保持 日 志 中 最 大 的 事件 数量 , 而 不 会 跳 过 任何 新 事件 。 
还 可 选择 存档 达到 最 大 大 小 的 事件 日 志 。 但 随 厦 时 间 的 推移 ， 需 要 监视 归档 事件 日 志 的 大 小 ， 因 为 它们 永远 不 会 目 
动 删 除 ， 可 能 会 填 满 服务 器 上 的 C: 驱 动 器 。 最 后 ， 可 选择 在 事件 日 志 满 时 停止 收集 事件 。 这 个 选项 很 少 使 用 ， 因 为 
大 多 数 情 况 下 ， 最 近 发 生 的 事件 是 最 重要 的 。 

如 果 是 跨 多 个 服务 器 监视 事件 ， 则 可 配置 事件 日 志 订 阅 。 事 件 日 志 订 阅 允 许 将 来 自 多 个 服务 器 的 特定 事件 收集 
到 一 人 台 服 务 器 的 单个 日 过 中 。 将 事件 集中 在 一 台 服 务 髓 上 将 使 检查 变 得 更 容易 。 

有 关 转 发 事件 日 志 的 详细 信息 ， 请 参阅 Windows Event Collector， 网 址 是 https:/msdn.microsoftcomyen-us/librarV/ 
bb427443(V = vs.85). aspPX。 


1.5.2 ”任务 管理 器 


在 Windows Server 2016 中 ，Task Manager( 任 务 党 理 器 ) 的 默认 视图 只 显示 系统 上 运行 的 应 用 程序 的 名 称 ， 不 
显示 关于 资源 使 用 或 服务 的 任何 细节 。 笠 运 的 是 ， 如 果 单 击 More Details， 它 会 显示 一 个 包含 更 多 信息 的 视图 ， 
如 图 1.19 所 示 。 

Task Manager 中 的 选项 卡 显 示 如 下 内 容 : 
售 ” Processes。 在 服务 器 上 运行 的 进程 列表 与 每 个 进程 的 CPU 和 内 存 利 用 率 一 起 显示 。 这 些 进 程 分 为 应 用 程 
序 、 后 台 程 序 和 Windows 进程 。 
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1.19 ”Task Manager 窗口 


令 ”Performance。 显 示 有 关 CPU 利用 率 、 内 存 利 用 率 和 网 络 利 用 率 的 信息 。 这 些 信息 对 于 识别 特定 资源 是 否 
为 性 能 瓶颈 非常 有 用 。 

令 ”Users。 显 示 在 控制 台 或 通过 远程 果 面 登录 到 服务 器 的 所 有 用 户 ， 以 及 用 户 局 动 的 进程 的 CPU 和 内 存 利 用 
率 。 如 果 展 开 用 户 ， 可 查看 各 个 进程 。 

令 ”Details。 对 于 每 个 进程 ， 将 显示 可 执行 文件 的 名 称 、 进 程 ID、 状 态 、 用 户 名 、CPU 利用 率 、 内 存 利 用 率 
和 描述 信息 。 可 根据 这 些 列 对 数据 进行 排序 。 

急 。 Services。 对 于 每 个 服务 ， 都 会 显示 服务 名 称 、 进 程 IDP、 摘 述 和 状态 。 这 是 了 解 服务 信 息 的 一 种 快速 方法 。 

根据 当前 查看 的 选项 卡 ， 可 对 显示 的 项 执行 各 种 操作 。 可 停止 、 局 动 和 重新 局 动 服务 ， 可 结束 没有 正确 啊 应 的 

特定 任务 。 也 可 打开 进程 的 文件 位 置 ， 来 标识 可 执行 文件 的 位 置 。 


1.5.3 ”和 俱 源 监 倪 尼 


图 1.20 中 的 Resource Monitor( 资 源 监 视 右 ) 显 示 的 性 能 信息 比 Task Manager 中 的 更 详细 。 信 息 分 为 四 个 最 可 能 
成 为 瓶颈 的 资源 ，CPU、 内 存 、 磁 盘 和 网 络 。 
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1.20 ”Resource Monitor 窗口 
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Resource Monitor 中 的 一 个 有 用 特性 是 能 基于 进程 过 滤 视 图 。 如 果 为 特定 进程 选择 复 选 框 ， 视 图 将 被 过 滤 ， 只 
显示 所 选 进程 的 信息 ， 过 滤 将 应 用 于 所 有 选项 卡 。 

Overview 选项 卡 显示 CPU、 内存、 磁盘 和 网 络 中 最 第 用 信息 的 摘要 。 可 以 展开 每 个 部 分 ， 以 得 看 每 个 进程 的 
详细 信息 。 

在 CPU 选项 卡 上 ， 可 看 到 每 个 进程 或 服务 的 CPU 利用 率 。 如 果 选 择 一 个 特定 进程 ， 还 可 在 Associated Handles 
部 分 看 到 它 正 在 访问 的 所 有 资源 。Associated Modules 部 分 显示 进程 使 用 的 动态 链接 库 (Dynamic Link Library，DLL) 
文件 。 这 个 选项 卡 还 显示 了 每 个 CPU 内 核 的 利用 率 ， 这 样 就 可 以 确定 菜 个 进程 是 否 使 某 个 内 核 饱 和 了 。 

Memory 选项 卡 标识 每 个 进程 使 用 的 内 存 以 及 如 何 将 其 分 配给 操作 系统 。 它 显示 使 用 了 多 少 内 存 、 使 用 了 多 少 
缓存 以 及 有 多 少 是 可 用 的 。 

Disk 选项 卡 显示 每 个 进程 产生 了 多 少 磁盘 活动 。 它 还 显示 每 个 文件 正在 执行 多 少 磁盘 活动 。 当 磁盘 利用 率 很 高 
时 ， 这 有 助 于 识别 有 问题 的 进程 。 存 储 部 分 显示 每 个 驱动 器 的 活动 级 别 ， 包 括 磁盘 队列 长 度 ， 这 是 磁盘 利用 率 的 指 
标 。 如 果 磁 盘 队列 长 度 长 时 间 大 于 1， 那 么 磁盘 系统 驶 是 瓶颈 。 

Network 选项 卡 显 示 每 个 进程 的 网 络 利 用 率 。 它 显示 进程 的 总 体 利用 率 ,并 将 其 分 解 为 与 其 他 主机 的 单独 对 话 。 
还 可 看 到 所 有 TCP 连接 和 监听 端口 的 列表 。 


Windows Sysinternals 

Windows Sysinternals 是 一 组 高 级 故障 排除 工具 ， 可 从 微软 免费 下 载 。 这 些 工具 可 提供 关于 Windows 如 何 执 行 
任务 的 非常 低级 的 信息 ， 当 标准 Windows 工具 不 能 提供 足够 信息 时 ， 它 们 可 用 于 找到 并 解决 疑难 问题 。 

一 些 可 用 工具 包括 : 
TCPView。 这 个 实用 程序 显示 了 关于 计算 机 上 TCP 和 UDP 端口 的 详细 信息 。 
Process 了 xplorer。 此 工具 识别 进程 打开 的 文件 和 DLL。 
Process Monitor。 这 个 实用 程序 允许 捕获 进程 的 文件 和 注册 表 活 动 ， 以 便 理解 它 在 一 段 时 间 内 或 在 错误 发 
生 时 所 做 的 工作 。 
有 关 Windows Sysinternals 工具 及 其 下 载 的 更 多 信息 ， 请 参见 Windows Sysinternals 页 面 ， 网 址 是 https://docs. 


microsoft.com/en-us/sysinternals/. 


邻 邻 依 


1.5.4 ”性 能 监视 疾 


Windows Server 2016 包含 大 量 性 能 计数 器 , 允许 监视 系统 性 能 的 许多 详细 方面 。 性 能 计数 器 提供 的 数据 比 Task 
Manager 或 Resource Monitor 中 提供 的 数据 要 详细 得 多 ， 但 可 能 更 难 解释 。 可 使 用 Performance Monitor (性 能 监视 
器 ， 如 图 1.21 所 示 ) 来 记录 和 查看 这 些 性 能 计数 器 。 
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图 1.21 Performance Monitor 窗口 
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Performance 节点 概述 了 通常 监视 的 性 能 计数 器 .这 里 显示 的 数据 类 似 于 Task Manager 中 的 Performance 选项 卡 。 

希望 实时 监视 性 能 计数 器 时 ， 可 使 用 Performance Monitor 节 点。 在 这 个 节点 中 ， 可 以 添加 和 删除 各 种 性 能 计数 
器 ， 并 选择 它们 的 显示 方式 。 性 能 计数 器 可 以 显示 为 折线 图 、 直 方 图 或 显示 数值 的 报告 。 

要 记录 系统 活动 以 供 以 后 分 析 , 需要 创建 一 个 数据 收集 器 集合 。 数据 收集 器 集合 定义 了 要 记录 哪些 性 能 计数 器 、 
何 时 局 动 和 停止 。 数 据 收集 器 集合 在 User Defined 节点 中 创建 。 

Data Collector Sets 中 的 System 节点 包含 Windows Server 2016 中 的 数据 收集 器 集合 。 当 添加 服务 器 角色 时 ， 它 
们 有 时 会 包含 一 个 数据 收集 器 ， 用 于 对 该 服务 器 角色 进行 故障 排除 。 例 如 ， 在 安装 AD DS 服务 器 角色 时 ， 将 添加 
Active Directory Diagnostics 数据 收集 器 集合 。 

在 数据 收集 器 集合 运行 后 ， 将 生成 报表 并 存储 在 Reports 节点 中 。 报 告 提供 了 收集 到 的 数据 的 摘要 。 对 于 性 能 
计数 器 ， 它 显示 平均 值 、 最 小 值 和 最 大 值 。 

如 果 试 图 对 某 个 特定 时 间 点 发 生 的 性 能 问题 进行 故障 排除 ， 则 需要 检查 性 能 计数 器 随时 间 变 化 的 值 。 要 查看 性 
能 计数 器 在 不 同时 间 点 的 值 ， 可 使 用 Performance Monitor 节点 打开 数据 收集 器 集合 中 的 日 志文 件 。Performance 
Monitor 节点 的 折线 图 将 允许 选择 一 个 特定 时 间 点 ， 来 得 看 性 能 计数 器 的 值 。 


1.6 ”本 重要 后 


定义 一 个 部 署 过 程 。 运 行 setup.exe 或 使 用 各 种 映像 过 程 ， 可 以 部 署 Windows Server 2016。 通 和 ， 应 该 太 可 能 
地 目 动 化 部 署 过 程 ， 但 需要 定义 一 个 用 于 组 织 的 一 致 的 部 普 过 程 。 定 义 民 好 的 部 署 过 程 有 助 于 确保 服务 器 配置 的 一 
致 性 ， 从 而 更 容易 地 排除 故障 。 
问题 组 织 已 经 完全 虚拟 化 了 部 署 服务 器 的 基础 架构 。 为 创建 新 的 服务 器 ， 团 队 通过 Sysprep 准备 好 的 操 
作 系 统 复制 虚拟 人 硬盘 驱动 器 。 如 何 改进 这 个 过 程 ? 
答案 如 果 组 织 的 规模 大 到 足以 证 明成 本 合理 ,应 该 实现 管理 虚拟 机 部 署 的 软件 .可 将 VMM 用 于 Hyper-V 
主机 ， 或 将 vCenter 用 于 VMware 主机 。 使 用 更 高 级 的 部 署 软 件 ， 可 以 更 好 地 实现 流程 自动化。 
选择 Windows Server 2016 的 一 个 版 本 。 可 购买 Windows Server 2016 的 标准 版 或 数据 中 心 版 。 这 两 个 版 本 的 
基本 功能 是 相同 的 ， 但 一 些 高 级 功能 仅 在 数据 中 心 版 中 可 用 。 如 果 需 要 这 些 高 级 特性 ， 比 如 Storage Replica 或 屏蔽 
的 虚拟 机 ， 那 么 应 该 购买 数据 中 心 版 。 
问题 规划 用 于 部 大 Windows Server 2016 的 标准 化 映像 。 对 于 以 前 的 Windows Server 版 本 ， 总 是 使 用 每 
个 服务 器 上 的 图 形 界 面 。 在 高 度 虚 拟 化 的 环境 中 引入 Server Core 的 好 处 是 什么 ? 
答案 Server Core 的 基本 好 处 是 减少 了 攻击 和 面 和 对 更 新 的 需求 。 在 高 度 虚 拟 化 的 环境 中 ,服务 器 的 密度 也 
会 增加 。Server Core 使 用 更 少 的 磁盘 空间 和 更 少 的 内 存 ， 这 允许 在 每 个 虚拟 化 主机 上 运行 更 多 虚拟 机 。 
选择 一 个 激活 方法 。 当 使 用 批量 许可 时 , Windows Server 2016 可 使 用 MAK 窗 钥 、KMS 或 Active Directory Based 
Activation 来 激活 。 每 个 服务 器 上 都 输入 一 个 MAK 窗 钥 。KMS 密 钥 输入 KMS 主机 或 Active Directory 中 。 
问题 过 去 ， 组 织 已 经 为 服务 器 使 用 了 OEM 许可 。 为 迁移 到 Windows Server 2016， 购 买 了 批量 许可 ， 以 
便 在 主机 之 间 更 灵活 地 移动 虚拟 服务 器 。 最 初 的 部 罩 规 模 很 小 ， 第 一 年 只 有 两 到 三 个 服务 器 。 首 选 的 激活 
方式 是 什么 ? 
答案 在 这 个 场景 中 ， 不 能 使 用 KMS 主机 ， 因 为 这 个 部 署 在 一 年 内 都 不 能 达到 最 小 激活 国 值 。 作 为 最 佳 
实践 ， 不 应 该 要 求 服务 器 访问 Internet 以 进行 激活 。 这 使 基于 Active Directory 的 激活 成 为 最 佳 解决 方案 。 
监控 Windows Server 2016。Windows Server 2016 包含 了 许多 用 于 监控 和 故障 排除 的 工具 。Task Manager 和 
Resource Monitor 是 快速 了 解 当 前 系统 性 能 的 好 工具 。Resource Monitor 可 提供 关于 当前 系统 性 能 或 日 志 性 能 的 详细 
信息 ， 以 供 以 后 分 析 。 事 件 查 看 器 允许 检查 日 志 ， 以 查找 与 性 能 问题 相关 的 错误 。 
问题 “假定 为 一 个 拥有 几 百 台 服 务 器 的 大 型 组 织 工作 。 服 务 器 的 监控 是 被 动 的 ， 而 不 是 主动 的 。 在 用 户 开 
始 调用 帮助 台 之 前 ， 我 们 不 知道 存在 性 能 问题 。 如 何 更 好 地 管理 监控 ? 
答案 在 大 型 组 织 中 ， 手 工 扫 摘 事件 日 志和 人 性 能 统计 数据 是 不 可 能 的 。 相 反 ， 需 要 诸如 System Center 
Operations Manager 的 集中 监控 软件 。 实 现 Operations Manager 时 , 随 看 时 间 的 推移 , 将 不 断 收集 性 能 信息 ， 
并 监视 事件 日 志 以 检查 错误 。 当 出 现 问题 时 ， 可 通过 电子 邮件 通知 管理 团队 。 


PowerShell 


对 基本 PowerShell 技能 的 需求 在 操作 系统 (如 Windows Server 2016) 和 定制 业务 系列 应 用 程序 中 随处 可 见 。 事实 
上 ， 许 多 配置 变化 都 只 能 通过 PowerShell 完成 。 本 书 将 介绍 各 种 脚本 和 命令 。 本 章 没 有 赛 括 所 有 关于 PowerShell 
的 知识 ; 只 提供 足够 的 背景 信息 ， 以 帮助 你 理解 本 书 和 网 上 的 各 种 命令 和 脚本 中 发 生 了 什么 。 能 够 找到 命令 并 理解 
文档 ， 就 能 开发 目 己 的 脚本 和 功能 ， 以 一 致 和 系统 的 方式 目 动 完成 日 贡 工 作 。 如 果 你 决定 深入 了 解 Windows 
PowerShell 中 令 人 兴奋 和 复杂 的 编码 世界 ， 可 通过 本 章 很 好 地 了 解 基础 知识 。 


本 章 内 容 包括 : 

s 定制 PowerShell 和 PowerShell ISE 环境 

es 执行 命令 发 现 ， 解 释 PowerShell 语法 符号 和 概念 文档 

e 编写 和 分 析 代 码 ， 文 持 函 数 、 循 环 、 比 较 、 管 道 处 理 、 变 量 和 脚本 
se 通过 PowerShell 管理 远程 服务 器 


2.1 PowerShell 是 什么 


PowerShell 于 2006 年 推出 。 它 的 命令 行 界 面 (CLD 让 许多 人 想起 了 旧 的 DOS 提示 符 , 但 PowerShell 实际 上 不 是 
CLI。 这 是 一 个 面 癌 对 象 的 管理 上 自动 化 引擎 (参见 图 2.1)。PowerShell 有 一 个 CLI， 但 PowerShell 也 可 作为 图 形 用 户 
界面 (GUD 的 后 端 。 


EN Administrator: Windows Powershell 


图 2.1 Windows PowerShel] 在 Windows Server 2016 上 的 控制 台 


PowerShell 的 灵活 性 和 实用 性 的 一 个 好 例子 是 如 何 由 其 他 应 用 程序 托管 PowerShell。 许 多 业务 (Line-Of Business， 
LOB) 应 用 程序 都 专门 编写 为 PowerShell 的 包装 器 。 这些 应 用 程序 需要 特定 的 类 \ 模 块 、 属 性 和 设置 。 如 果 PowerShell 
更 新 到 与 LOB 应 用 程序 不 兼容 的 版 本 ， 该 应 用 程序 可 能 失败 。 应 总 在 升级 之 前 检查 任何 LOB 软件 的 制造 商 ， 以 确 

通 币 ，GUI 不 会 提供 所 有 可 能 的 配置 设置 。 许 多 更 高 级 的 功能 (或 者 微软 想 要 隐藏 的 功能 ) 都 只 能 通过 CLI 来 配 
置 。 随 着 操作 系统 和 企业 应 用 程序 的 及 展 ， 回 目 动 化 和 配置 标准 的 转变 在 提速 。 这 提供 了 再 现 性 ; 换 句 话说 ， 通 过 
脚本 完成 配置 ， 更 容易 确保 在 所 有 系统 中 都 有 统一 的 配置 。 它 们 还 提供 了 优秀 而 详 明 的 文档 ， 说 明了 哪些 配置 已 应 
用 于 系统 。 如 果 系 统 需要 快速 上 线 ， 可 使 用 这 些 脚本 目 动 完成 这 个 过 程 的 大 部 分 操作 。 


2.1.1 向 前 兼容 
PowerShell 是 向 前 兼容 的 ， 这 意味 着 在 PowerShell 旧版 本 中 创建 的 任何 脚本 都 应 该 能 在 新 版 本 中 运行 。 然 而 ， 
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尽管 PowerShell 1.0 的 模块 和 类 仍 包含 在 PowerShell 5.0 中 , 但 较 新 的 操作 系统 可 能 不 使 用 这 些 旧 的 模块 或 类 。 旧 的 
脚本 可 能 会 运行 ， 但 操作 系统 中 可 能 没有 提供 结果 所 需 的 部 分 。 这 意味 着 脚本 可 能 不 像 预期 的 那样 运行 ， 或 者 干脆 
拒绝 运行 。 


2.1.2 PowerShell 版 本 


PowerShell 有 32 位 和 64 位 版 本 。 现 代 微 软 操作 系统 通常 是 64 位 的 。 当 shell 托管 在 32 位 应 用 程序 中 时 ，32 
位 版 本 用 于 兼容 性 。PowerShell 1 版 本 只 有 32 位 。 其 余 版 本 都 将 32 位 版 本 指定 为 (&86)。 这 些 都 显示 在 应 用 程序 
Windows PowerShell (x86) 或 Windows PowerShell ISE (x86) 中 。 运行 PowerShell 应 用 程序 时 ， 屏 幕 项 部 的 标题 栏 将 显 
示 相 同 的 名 称 。 图 2.2 显示 了 名 称 差异 。 


鸭 windows powershall 


Windows Powershell 
Windows PowerShell (x8 人 A) 
> Windows PowerShell ISE 
ee Windows PowerShell ISE (x86) 


{0 攻 Windows System 


[Dj 


图 2.2 32 位 和 64 位 版 本 的 powerShell 


如 果 使 用 的 是 32 位 操作 系统 ， 则 只 能 运行 32 位 应 用 程序 。 这 意味 看 只 能 运行 32 位 版 本 的 PowerShell。 在 64 
位 操作 系统 (如 Windows Server 2016) 上 ， 可 使 用 任意 一 种 ， 但 强烈 建议 尽 可 能 使 用 64 位 版 本 。 


2.2 ”运行 和 定制 PowerShell 


如 果 操 作 系 统 使 用 用 户 账户 控制 (User Account Control，UAC)， 如 Windows Server 2016， 将 不 会 以 管理 员 号 份 
打开 PowerShell。 要 使 用 完整 的 管理 凭证 运行 PowerShell, 请 右 击 图 标 ， 并 从 快捷 菜单 中 选择 Run As Administrator。 
此 更 改 将 显示 在 标题 栏 和 PowerShell CLI 中 ， 如 图 2.3 所 示 。 


Wnaonus Powersne 
copyright (cy 2016 Microsoft Corporation. All rights reserwed. 
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图 2.3 以 管理 员 身 份 运行 PowerShell 
2.2.1 定制 PowerShell 控制 台 


有 时 花 了 很 长 时 间 调 试 一 个 脚本 ， 却 发 现 犯 了 一 些 幼稚 的 错误 ， 比 如 单 引 号 被 重音 符号 取代 ， 或 者 把 大 括号 当 
成 左 括号， 没有 比 这 更 糟 的 了 。 每 个 字符 都 用 在 不 同情 况 下 ， 如 果 用 一 个 字符 蔡 换 另 一 个 字符 ， 可 能 会 得 到 意 想 不 
到 的 结果 。 这 通常 显示 为 一 些 难以 理解 的 错误 消息 。 最 好 更 改 字 体 和 字体 大 小 ， 以 便 更 容易 识别 不 同 的 字符 。 

要 更 改 字体 ， 右 击 PowerShell 窗口 ， 并 选择 Properties。 然 后 选择 Font 选项 卡 。 光 栅 字 体 似 乎 特别 容易 混 消 ， 
所 以 应 选择 TrueType 字体 。 
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我 们 还 可 控制 shell 窗口 的 大 小 。 大 多 数 人 喜欢 大 窗口 ， 但 不 喜欢 水 平 滚动 条 。 可 以 进入 Layout 选项 卡 并 调整 
窗口 大 小 。 注 意 还 有 一 个 缓冲 区 大 小 。 通 常 希望 把 Buffer Size 和 Window Size 的 Width 设置 为 相同 的 值 。 值 会 根据 
分 辩 率 的 不 同 而 不 同 。 大 多 数 管理 员 都 喜欢 填 满 整个 宽度 ， 而 不 显示 滚动 条 。Bnuffer Size 和 Window Size 的 值 不 需 
要 相同 。 事 实 上 ，Buffer Size 的 高 度 值 较 大 ， 就 会 显示 牌 直 滚动 条 。 这 意味 着 可 在 shell 中 上 下 滚动 。 


2.2.2 在 PowerShell 中 剪 切 和 粘贴 


还 可 在 PowerShell 中 执行 剪 切 和 粘贴 操作 ， 但 它们 的 工作 方式 与 预期 的 稍 有 不 同 。 

请 注意 ， 复 制 时 ， 突 出 显示 的 内 容 都 会 进入 甬 贴 板 。 这 意味 着 ， 如 果 拖 动 鼠 标 ， 只 突出 显示 几 行文 本 的 中 间 部 
分 ， 束 只 复制 这 些 突出 显示 的 文本 。 一 定 要 准确 地 突出 显示 要 选择 的 内 容 ， 否 则 可 能 得 到 意 想 不 到 的 结果 。 

如 果 要 局 用 更 传统 的 选择 方法 ， 即 获取 整 行 文本 ， 而 不 仅 是 文本 行 的 一 部 分 ， 可 进入 PowerShell 控制 台 窗 口 的 
属性 , 在 Options 选项 卡 上 , 选择 Enable Line Wrapping Selection。 如 果 复 制 和 粘贴 根本 不 起 作用 , 就 进入 PowerShell 
窗口 的 属性 ， 并 确保 局 用 了 QuickEdit 模式 。 


2.2.3 使 用 PowerShell ISE 


常规 的 PowerShell 看 起 来 像 旧 的 DOS 提示 符 。PowerShell ISE(Integrated Scripting Environment， 集 成 脚本 编制 
环境 ) 也 有 一 个 控制 台 窗 口 ; 但 在 ISE 中 ， 也 有 一 个 脚本 窗口 ， 在 那里 可 以 加 载 、 编 辑 脚本 和 文本 文件 。 根 据 操作 系统 
和 屏幕 分 辩 率 的 不 同 ， 可 能 看 到 附加 的 附件 。 可 以 选择 View 以 查看 能 使 其 可 见 的 内 容 。 还 可 根据 需要 选择 Add-ons 
并 进行 不 同 的 选择 。 图 2.4 显示 了 默认 的 Windows PowerShell ISE 布局 ， 其 中 选择 了 Show Script Pane 视图 选项 。 


鲍 Administrator Windows PowerShell ISE 一 加 | A 
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2.2.4 探索 Command 附加 组 件 窗 格 


ISE 中 最 流行 的 附加 组 件 之 一 是 Command 附加 组 件 。 它 提供 了 一 个 按 字 母 顺 序 排列 的 命令 参考 。 这 些 命令 在 
PowerShell 中 通常 称 为 cmdlet。 这 些 cmdlet 包含 在 本 地 系统 上 可 能 已 经 加 载 的 各 种 模块 中 。 

Windows Server 2016 默认 安装 了 几 个 模块 。 当 安装 不 同 的 角色 或 安装 其 他 应 用 程序 和 服务 时 ,， 通 利 也 会 得 到 额 
外 的 模块 。 还 可 以 获得 第 三 方 编写 的 模块 。 图 2.5 显示 了 PowerShell ISE 中 的 Command 附加 窗 格 ， 其 中 选择 了 All。 

选择 模块 时 ，Command 窗 格 中 将 只 显示 该 模块 的 cmdlet。 

另 一 个 方便 的 附加 组 件 是 Script 窗 格 。 它 允许 加 载 脚本 ， 编 辑 和 运行 整个 脚本 ， 而 不 需要 剪 切 和 粘贴 。 还 可 突 
出 显示 脚本 的 特定 行 ， 仅 执行 突出 显示 的 行 。 

要 运行 Script 窗 格 的 全 部 内 容 ， 可 单 击 屏幕 顶部 的 绿色 Play 按钮 ， 或 者 简单 地 按 Fs 键 。 如 果 只 想 执行 高 亮 显 示 的 
行 ， 可 按 下 后 面 带 有 小 文本 文档 的 Play 按钮 ， 或 者 按 F8 键 。 如 果 需 要 停止 脚本 ， 可 按 红 方 块 或 按 Cl+Break 组 合 键 。 
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图 2.5 选择 了 All 的 Command 窗 格 


ISE 还 有 其 他 选择 。 如 果 选 择 Tools， 再 选择 Options， 就 可 以 对 字体 进行 大 量 定 制 ， 并 对 文本 颜色 进行 广泛 控 
制 。 当 选择 Manage Themes 时 ， 可 在 几 个 默认 设置 中 选择 。 还 可 导入 和 导出 主题 ， 以 进行 进一步 的 定制 。 图 2.6 显 
示 ISE 的 Colors and Fonts 选项 卡 。 


| Options 


Colors and Fonts | Genmeral Settings | 


4 
Foreg raurd 
Backoground 


b senpt Pane loKens | 一 一 一 Green 


b AML lokens 


a Console Pane | z 
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Background 

Text Background | Hexadecimal 
bb Console Tokens 
b Output Streams 


Fent Family Fent Sze: 
Lucida Console DL Fived-width fonts only 


Current Theme: 


Dark Console, Light Editor (default) 


arple: 
# This 15 a Powershell comment. 


function MyFunction(t|lParameter CPos1it1on 0) [System. String|$path’} 


:loopLabel foreach (C$thisFile in CGet-ChildItem $pathy})) 
{ 


Write=Haost : Write=Host =Fore Yellow 
("Length:" | 
System.Math]::Floor($thisFile.Length / 1000)) 


图 2.6 ”ISE 的 Colors and Fonts 选项 卡 
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如 图 2.7 所 示 ， 在 Options 对 话 框 的 General Settings 选项 卡 上 ， 有 一 些 用 于 脚本 行为 的 附加 选项 ， 包 括 显示 大 
网 、 行 号 ， 检 测 重复 的 文件 ， 以 及 在 运行 之 前 保存 脚本 。 还 可 修改 Script 窗 格 的 位 置 ， 放 在 顶部 、 右 侧 ， 或 者 将 其 
最 大 化 。 


| Options 


| Colors and Fonts | General Settings 


-Script Pane Behavior 


Showline numbersinthe Scriptpane oo 
Warn me when | edit duplicate files 


[wj Prompt to save scripts before running them 


>cript Pane posihon: [Top 


-|ntellisense 


Show Intellisense In the Console Pane 
Enter selects Intellisense items in the Console Pane 
show Intellisense in the senpt Pane 


Enter selects Intellisense items In the Scnpt Pane 


略 
, 。 四 | 上 
Intellisense timeout in seconds: |>? | 


-Other Settings 


[w| Use local help content instead of online content 
[w] Show the ToolBar 


[w] Use default snippets 


AutoSave interval for scripts in minutes: 2 


Number of recent files to show: 110 | 


Restore Defaults | ok | [Gancel| | Apply 


图 2.7 ISE 的 General Settings 选项 卡 


可 在 General Settings 选项 卡 的 中 间 部 分 配置 Intellisense。 当 智能 感知 检测 到 正在 键入 的 命令 时 ,将 自动 填充 命 

令 ， 并 人 允许 快速 选择 与 所 键入 的 命令 匹配 的 不 同 可 用 命令 。 可 调整 智能 感知 的 超时 设置 ， 它 规定 了 智能 感知 建议 显 

示 的 时 间 长 度 。 默 认 值 是 3 秒 。 对 话 框 中 的 范围 是 1~5 秒 。 可 使 用 以 下 命令 将 超时 设置 为 其 他 值 : 
shost.PrivateData.IntellisenseTimeoutInSeconds = X 


其 中 X 蔡 换 为 显示 智能 感知 建议 的 秒 数 。 


2.3 设置 PowerShell ISE 配置 文件 


如 果 每 次 启动 PowerShell 或 PowerShell ISE 时 都 需要 重新 创建 最 
会 话 之 间 保 留 这 些 设置 的 一 种 方法 是 使 用 PowerShell 配置 文件 。 

PowerShell 配置 文件 是 每 当 PowerShell 启动 时 都 会 执行 的 脚本 。 其 中 包含 大 量 的 命令 、 畏 数 、 变 量 、 管 理 单元 、 
别名 、 模 块 和 驱动 器 。 还 可 添加 特定 于 会 话 的 额外 元 素 ， 这 些 元 系 使 用 PowerShell 配置 文件 加 载 每 个 会 话 。 

这 些 PowerShell 配置 文件 存储 为 文件 。 可 拥有 多 个 配置 文件 ， 甚 至 可 拥有 特定 于 某 台 主机 的 配置 文件 。 有 几 个 
配置 文件 与 会 话 关 联 , 它们 按 优先 顺序 列 出 。 列 出 的 第 一 个 配置 文件 的 优先 级 最 高 。 这 些 配 置 文件 存储 在 不 同位 置 。 
以 下 是 基本 配置 文件 的 路 径 : 

Current User, Current Host $Home [My ] Documents\WindowsPowerShell\Profile.psl Current User, All Hosts 


$sHome [My ]Documents\Profile.psl All Users, Current Host $PsHome\Microsoft.PowerSshell profile.psl 
All Users, All Hosts S$PsHome\Profile.psl 


这 条 路 径 有 两 小 变 量 ; 
令 $5Home: 存储 当前 用 户 的 主 目录 位 置 。 


至 欢 的 脚本 环境 ,将 是 比较 三 煤 和 困难 的 。 在 
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令 S$PsHome: 指 回 PowerShell 的 安装 目录 。 

通常 ，CurrentUser、Current Host 配置 文件 就 是 PowerShell 配置 文件 。 这 些 配置 文件 的 路 径 存 储 在 $Profile 自动 
变量 中 。 可 以 使 用 $Profile 变量 查看 路 径 ， 也 可 在 命令 中 使 用 $Profile 变量 。 

要 得 看 $Profile 变量 的 当前 值 ， 使 用 以 下 命令 : 

sProfile |Get-Member -Type Noteproperty 

可 使 用 以 下 命令 将 $Profile 值 复制 到 记事 本 中 : 

Notepad S$profile 

还 可 输入 以 下 命令 进行 测试 ， 以 确保 本 地 计算 机 上 存在 配置 文件 路 径 : 

Test-Path s$profile.AllUsersAllHosts 

要 在 不 履 兹 现 有 配置 文件 的 情况 下 创建 配置 文件 ， 请 使 用 以 下 命令 : 

if (! {test-path $profile)) {new-item -type file -path s$profile -forcel 

让 语句 查看 路 径 是 否 有 现成 的 配置 文件 。 如 果 没 有 ， 它 就 创建 一 个 新 的 配置 文件 。 

如 果 想 创建 新 的 All Users 配置 文件 ， 需 要 使 用 Run As Administrator 选项 运行 PowerShell。 为 此 ， 需 要 右 击 
PowerShell 图 标 ， 然 后 选择 Run As Administrator。 


编辑 配置 文件 


配置 文件 只 是 文本 文件 。 可 在 不 能 入 额外 信息 的 任何 文本 编辑 器 中 编辑 它们 。Notepad 是 PowerShell 配置 文件 
的 完美 编辑 器 。 要 在 类 似 Notepad 的 地 方 打开 当前 用 户 的 配置 文件 ， 输 入 以 下 命令 : 
Notepad S$Profile 
如 果 要 编辑 其 他 配置 文件 ， 只 需要 指定 配置 文件 名 称 。 例 如 ,要 打开 所 有 主机 应 用 程序 上 的 所 有 用 户 的 配置 文 
可 输入 以 下 命令 : 
Notepad S$profile.AllUsersAllHosts 
最 初 ， 配 置 文件 是 空 日 的 。 
也 许 需要 一 个 定制 的 提示 ， 指 出 当前 计算 机 的 名 称 和 当前 路 径 。 为 此 可 使 用 下 面 的 命令 : 
function awesome-prompt { $env:computername + ™\" + (get-location) + "> " } 
如 果 想 使 用 Run As Administrator 目 动 打开 PowerShell， 可 以 使 用 以 下 命令 : 
Function Open-AsAdmin {Start-Process PowerShell -Verb RunAs} 


一 旦 进行 了 适当 更 改 ， 只 需要 保存 配置 文件 ， 然 后 重新 局 动 PowerShell。 


2.4 ”设置 执行 归 咯 


我 们 不 希望 允许 任何 人 执行 脚本 ,运行 未 知 或 不 可 信 来 源 的 脚本 。 执 行 策 略 指定 用 尸 可 否 加 载 配 置 文件 。 还 决 
定 是 否 允 许 运 行 脚本 ， 哪 些 脚 本 可 以 运行 ， 以 及 脚本 在 允许 运行 之 前 是 否 必 须 使 用 数字 证 书 进行 数字 签名 。 使 用 
Set-ExecutionPolicy 命令 来 配置 策略 。 

可 为 特定 的 PowerShell 会 话 、 当 前 用 户 或 本 地 机 器 设置 执行 策略 。 执 行 策略 不 需要 在 PowerShell 配置 文件 中 设 
置 ， 因 为 它 的 设置 存储 在 注册 表 中 。 然 而， 会 话 执行 策略 是 例外 ;它们 只 在 会 话 期 间 存在 ， 不 存储 在 注册 表 中 。 退 
出 会 话 时 ， 删 除 与 会 话 关联 的 执行 策略 。 

记 住 ， 执 行 策略 设置 了 处 理 脚本 的 行为 。 如 果 有 一 位 有 毅力 的 用 户 ， 或 者 你 是 一 位 有 角力 的 用 户 ， 可 将 所 有 命 
令 输入 控制 侣 。 执 行 策略 帮助 用 户 了 解 脚本 的 安全 上 下 文 ， 并 帮助 他 们 避免 意外 地 运行 不 合适 的 脚本 。 

受 限 执行 策略 不 允许 运行 脚本 ， 但 可 运行 单个 命令 。 所 有 脚本 文件 都 会 被 阻塞 。 

Set—ExecutionPolicy Restricted 


使 用 AllSigned， 可 运行 脚本 。 所 有 这 些 脚 本 和 配置 文件 都 需要 由 可 信 的 发 布 者 签名 。 这 包括 在 本 地 计算 机 上 


件 
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编写 的 脚本 。 

Set_-ExecutionPolicy Allsigned 

这 是 Windows Server 2012 R2 和 Windows Server 2016 的 默认 策略 : 

Set-ExecutionPolicy RemoteSigned 

该 策略 要 求 任何 脚本 或 配置 都 必须 由 可 信 的 发 布 者 签名 。 如 果 想 运行 未 签名 的 脚本 , 可 使 用 Unblock-File cmdlet 
来 解除 该 脚本 的 阻 寨 。 在 本 地 系统 上 创建 的 任何 脚本 都 不 需要 签名 即 可 运行 。 

下 面 将 允许 用 户 运 行 任何 内 容 。 如 果 用 户 试 图 运行 下 载 的 脚本 或 配置 文件 ， 它 会 通知 用 户 ， 但 不 会 阻止 执行 。 

Set-ExecutionPolicy Unrestricted 

这 是 最 危险 的 策略 。 它 会 在 没有 任何 提示 的 情况 下 运行 任何 内 容 。 

Set-ExecutionPolicy Bypass 

未 定义 的 执行 策略 通常 被 忽略 。 如果 将 所 有 应 用 的 策略 设置 为 未 定义 , 系统 将 使 用 默认 的 执行 策略 , 在 Windows 
Server 2016 中 默认 的 执行 策略 是 RemoteSigned。 


Set—ExecutionPolicy Undefined 
记录 PowerShell 会 话 


可 能 有 必要 记录 PowerShell 会 话 。 转 录 操 作 将 捕获 控制 台 显 示 的 所 有 输入 和 任何 输出 ， 并 将 其 存储 到 文件 中 。 
要 局 用 转录 操作 ， 可 输入 以 下 命令 : 

Start-Transcript c:\ mystranscript.txt 

可 使 用 Help Start-Transcript 命令 查看 各 种 选项 ,这 个 示例 将 创建 一 个 转录 文件 ,并 将 其 存储 在 C:\mytranscript.txt 
中 。PowerShell 将 覆 病 所 有 已 有 的 文件 。 为 避免 覆 兰 文件 ， 可 使 用 -NoClobber 参数 。 如 果 指 定 的 文件 已 经 存在 ， 
-NoClobber 将 导致 命令 失败 。 如 果 只 想 指 定 一 个 目录 并 让 PowerShell 目 动 命名 文件 ， 可 使 用 -OutputDirectory 参数 。 
如 果 只 想 奶 加 到 现 有 文件 中 ， 而 不 是 创建 新 文件 ， 可 使 用 -Append 参数 。 

要 停止 记录 转录 ， 可 简单 地 关闭 控制 台 会 话 ， 或 使 用 Stop-Transcript cmdlet。 注 意 ， 这 将 阻止 所 有 会 话 的 所 有 
转录 。 还 有 其 他 选项 ， 因 此 最 好 查看 Help About Start-Transcript 文件 。 


2.5 ”使 用 别名 并 狄 得 帮助 


PowerShell 提供 了 许多 方法 来 简化 命令 的 使 用 。 
2.5.1 在 PowerShell 中 使 用 类 似 cmd.exe 的 命令 


首次 运行 PowerShell 时 ， 它 可 能 会 让 人 想起 以 前 的 DOS 命令 提示 符 。 事 实 上 ， 许 多 相同 的 命令 似乎 都 得 到 了 
文 持 。 以 下 是 一 些 仍然 起 作用 的 命令 : 


MFDIR 


PING 
TPCONF TG 


许多 情况 下 ， 这 些 都 是 实际 命令 ， 并 没有 更 改 。 这 是 因为 它们 是 PowerShell 发 送 给 外 部 应 用 程序 来 处 理 的 外 部 
命令 ， 例 如 IPCONFIG 和 PING。 

但 并 不 是 所 有 旧 的 命令 都 能 以 预期 方式 工作 。 例 如 ，DIR 命令 用 于 显示 当前 目录 的 内 容 。 还 可 以 使 用 几 个 选项 
来 排序 、 显 示 文 件 所 有 权 、 以 宽 格 式 显 示 文 件 淆 列表， 或 者 只 显示 具有 茶 些 属性 的 文件 ， 如 隐藏 文件 。 

一 个 很 好 的 例子 是 DIR /S Importantfile.txt 命令 。 此 命令 用 于 在 特定 目录 以 及 当前 目录 的 所 有 子 目录 中 得 找 具 有 
特定 文件 名 的 所 有 文件 。 这 就 是 所 谓 的 递归 搜索 。 

下 面 是 在 cmd.exe( 不 是 PowerShe 册 中 运行 命令 时 会 发 生 的 情况 。 
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Dir /s Importantfile.txt 


Volume in drive C 13 OSD1isk 
Volume Serial Number 13 8636-D98D 


Directory of C:\templates\HR 


03/05/2017 11:56 AM 480 ijimportantfile.txt 
1 File(s) 480 bytes 

Directory of C:\templates\sales 

03/05/2017 11:56 AM 480 importantfile.txt 
1 File(s) 480 bytes 

Total Files Listed: 
2 Filel(s) 960 bytes 


0 Dir{(s) 37,296,039,936 bytes free 
这 是 一 个 非常 有 用 的 结果 。 在 脚本 中 ， 这 可 能 非常 重要 ， 因 为 可 能 要 将 一 堆 文 件 合 并 到 一 个 位 置 。 图 2.8 显示 
了 在 PowerShell 中 执行 同一 命令 的 结果 。 


二 Administrater Windows Powerdhal 一 口 ee 
5 Ci templates> dir /s 


加 2.8 ” PowerShell 中 的 Dir /S 


可 以 看 到 , Dir /S 被 PowerShell 完全 误解 了 。 它 认 为 用 户 试 图 获得 Ci\S 文件 夹 的 内 容 列 表 。 它 指出 找 不 到 路 径 ， 
因为 路 径 不 存在 。 

Dir /S 之 所 以 失败 ， 是 因为 许多 “ 旧 ” 命 令 使 用 别名 将 它们 重 定 同 到 新 的 PowerShell cmdlet。 之 所 以 使 用 别名 ， 
是 因为 “ 久 经 考验 的 ” 旧 命 令 并 不 总 是 遵循 PowerShell 动词 -名 词 格 式 。 用 户 发 送 给 这 些 别 名 的 任何 选项 都 由 搬 层 
的 PowerShell cmdlet 人 处理。 如 果 想 在 PowerShell 中 查找 DIR 的 帮助 ， 只 需要 输入 以 下 命令 ， 


Help DIR 
下 面 列 出 一 部 分 输出 : 
NAME. 


Get—ChildItem 


SYNOPSIS 
Gets the files and folders in a file system drive. 


SYNTAX 
Get—ChildItem [[-Filter] <String>|] [-Attributes {ReadOonly | Hidden | System | Directory 
| Archive | Device | Normal | 


这 将 为 Get-ChildItem PowerShell cmdlet 提供 默认 的 帮助 信息 。 使 用 DIR 时 , PowerShell 将 获取 所 提供 的 信息 并 
将 其 发 送 到 Get-ChildItem cmdlet。Get-ChildItem 不 交 持 /s 选项 。 所 以 会 出 现 错误 ， 脚 本 会 失败 。 

记 住 ,“ 久 经 考验 的 ”命令 通 稍 调 用 外 部 应 用 程序 ， 或 内 部 PowerShell 命令 的 别名 。 

如 果 想 确定 哪些 别名 是 可 用 的 ， 它 们 调用 的 是 哪些 PowerShell cmdlet， 只 需要 输入 以 下 内 容 ， 即 可 查看 在 当前 
会 话 中 可 用 的 所 有 模块 中 的 所 有 别名 : 


Get—Alias 
2.5.2 Get-Help 例子 


在 任何 命令 的 前 面 加 上 Get-Help、Help 或 Man, 就 可 以 请 求 玫 助 . 输 出 基本 上 是 一 样 的 , 因为 如 果 使 用 Get-Help， 
所 有 帮助 输出 都 被 转 储 到 控制 台 ， 且 可 能 在 屏幕 中 滚动 。 然 后 可 上 下 滚动 ， 查 看 需要 的 特定 信息 领域 。 如 果 使 用 
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Help 或 Man， 就 一 次 显示 一 屏 信 息 ， 按 任何 键 就 可 进入 下 一 个 屏幕 。 如 果 按 Ctrl+C 键 ， 则 输出 将 停止 ， 返 回 命令 


提示 符 。 


还 有 一 种 方法 是 使 用 -ShowWindow 参数 ， 它 可 在 单独 窗口 中 显示 帮助 ， 该 窗口 可 在 屏幕 上 继续 显示 ， 甚 至 移 到 


男 一 个 监视 器 。 图 2.9 显示 了 Get-Help Get-ChildItem -ShowWwWindow 的 输出 。 


Get-Childltem Help 


Find: Previous Next 


Synopsis 
Gets the files and folders in a file system drive. 


Parameters 
-Attributes <FileAttributes]> 
Gets files and folders with the specified attributes. This parameter 
supports all attributes and lets you specify complex combinations of attributes. 


For example, to get non-system files (not directories) that are encrypted or 
tompressed, type: 
Get-ChildItem -Attributes !Directory+!System+Encrypted, !Directory+! 
System+Compressed 


To find files and folders With commonly used attributes, you can Use the 
Attributes parameter, or 七 he Directory, File, Hidden, ReadOnly, and System switch 
parameters,. 


The Attributes parameter supports the following attributes: Archive, 
Compressed, Device, Directory, Enerypted, Hidden, Noermal, NotContentIndexed, 
Offline, ReadOnly, ReparsePoint, SparseFile, System, and Temporary. For a 
description of these attributes, see the FileAttributes enumeration at http:// 


100% 


图 2.9 -ShowWindow 参数 


创建 脚本 或 直接 在 控制 台 输 入 内 容 时 ， 可 使 用 这 个 窗口 并 将 其 作为 常量 引用 。 它 是 可 搜索 的 ， 所 以 可 用 它 来 快 


速 准确 地 定位 要 完成 的 任务 。 


PowerShell 会 帮助 展示 示例 。 问 题 是 需要 滚动 查看 所 有 语法 和 其 他 内 容 ， 才 能 找到 例子 。 如 采 想 直接 跳 到 示例 


代码 ， 只 需要 将 帮助 请 求 更 改 为 以 下 内 容 : 
Get—Help Dir ~Example 


下 面 是 输出 的 相关 部 分 : 


Example 2: Get all files with the specified file extension jn the current directory and 


subdirectories 
PS C:\>Get-—-ChildItem 一 Path "*.txt" 一 RecUrse 一 Force 


这 个 命令 获取 当前 目录 及 其 子 目 录 中 的 所 有 .txt 文件 。Recurse 参数 指示 Windows PowerShell 递归 地 获取 对 和 象 ， 


它 指 示 命 令 的 主题 是 指定 的 目录 及 其 内 容 。Force 参数 用 于 显示 隐藏 的 文件 。 
现在 我 们 已 取得 进展 。 可 以 符 试 以 下 命令 : 
Get—ChildItem 一 ReCUITSE 


如 果 是 从 cmd.exe 运行 ， 那 么 它 提供 的 输出 与 DIR /Ss 相同 。 
因为 知道 DIR 是 Get-ChildItem 的 别名 ， 所 以 ， 如 果 尝 试 下 面 的 命令 : 


DIR 一 Recurse 


就 会 发 现 结果 是 一 样 的 。 


2.5.3 获得 Get-Help 帮助 更 新 
从 PowerShell 3.0 开始 ， 操 作 系 统 就 不 再 包含 PowerShell 帮助 文件 。 如 果 以 管理 员 身份 


人 A 


运行 PowerShell， 可 能 


会 注意 到 系统 试图 从 Microsoft 拥有 的 在 线 服务 中 下 载 帮助 文件 。 如 果 有 第 三 方 供应 商 提供 的 PowerShell 模块 ， 也 
可 通过 可 下 载 的 帮助 进行 更 新 。 必 须 使 用 属于 本 地 管理 员 组 的 赁 证 运行 此 操作 ， 因 为 PowerShell 核心 命令 帮助 存储 
在 %systemdir%6 中 。 如 果 PowerShell 无 法 下 载 更 新 后 的 帮助 文件 ， 它 将 为 缺少 更 新 的 模块 中 的 命令 创建 默认 的 帮助 


显示 内 容 。 


并 非 所 有 模块 都 支持 更 新 它 的 帮助 文件 。 输 入 以 下 内 容 ， 可 得 到 具有 可 更 新 信息 指针 的 模块 列表 : 
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Get—Module -ListAvailable |Where HelplInfoURI 

如 果 想 立即 更 新 帮助 文件 ， 可 执行 以 下 命令 : 

Update-Help 

Update-Help 命令 在 系统 的 默认 模块 路 径 中 查找 所 有 已 安装 的 模块 。 该 路 径 存 储 在 环境 变量 Senv:PSModulePath 
中 。 要 查看 此 路 径 ， 请 使 用 以 下 命令 : 

senv: PSModulePath 

下 面 是 一 个 典型 的 输出 : 


C:\Users\Administrator\Documents\WindowsPowerShell\Modules;C:\Program Files\ WindowsPowerShell\ 
Modules;C:\Windows\system32\WindowsPowerShell\vl1.0\Modules 


如 果 想 添加 一 个 仅 在 此 会 话 期 间 存 在 的 额外 临时 路 径 ， 请 修改 此 环境 变量 ， 如 下 上 所 示 : 

$env:PSModulePath = $env:PSModulePath + ";f:\OurAddedPath" 

如 果 要 使 更 改 永 久生 效 ， 需 要 将 此 命令 添加 到 配置 文件 中 。 

如 果 要 更 新 不 在 模块 路 径 中 的 模块 ， 可 将 模块 导入 当前 会 话 ， 然 后 使 用 Update-Help 命令 。 可 使 用 以 下 命令 导 
入 模块 ; 

Import-Module "D:\LOBModuleswebought\LOBModule" 

如 果 在 24 小 时 内 多 次 运行 Update-Help， 实 际 上 不 会 更 新 任何 内 容 。 还 有 1GB 未 压缩 内 容 的 限制 。 如 有 果 不 想 
等 24 小 时 或 者 想 要 绕 过 1GB 的 限制 ， 可 使 用 以 下 命令 : 

Update-Help -Force 


这 个 Update-Help -Force 命令 可 添加 到 PowerShell 配置 文件 中 ， 以 确保 帮助 总 是 得 到 更 新 。 


2.5.4 ”为 没有 互联 网 接 入 的 服务 器 更 新 帮助 

很 多 时 候 ， 服 务 器 仅 供 内 部 使 用 ， 而 这 些 系统 不 能 直接 访问 Internet。 好 消息 是 微软 已 经 通过 Save-Help cmdlet 
解决 了 这 个 问题 。 帮 助 文件 下 载 到 与 Internet 连接 的 机 器 的 文件 共享 中 。 然 后 ， 可 将 文件 复制 到 内 部 计算 机 可 访问 
的 系统 中 。 下 面 是 一 个 例子 ; 


Save-HelpP -DestinationPath \\SMBFileServer0l\Sharename\PSHelpFolder -Credential Domainname\ 
Username 


这 将 把 帮助 文件 下 载 到 SMBFileServer01 的 文件 共享 中 。 还 要 确保 所 使 用 的 凭证 是 每 台 计 算 机 上 管理 员 组 的 成 
员 , 或 者 是 所 有 计算 机 都 是 成 员 的 域 管 理 员 。 还 要 知道 ，Update-Help 和 Save-Help 只 更 新 安装 在 本 地 系统 上 的 模块 
的 文件 。 


2.5.5 ”访问 在 线 帮助 文件 
如 果 不 想 下 载 更 新 ， 但 想 要 访问 帮助 文件 的 最 新 版 本 ， 可 添加 -Online 参数 。 下 面 是 一 个 例子 : 
Get—-Help Get-ChildItem ~Online 


真 的 应 该 关注 更 新 吗 ? 

在 创建 脚本 或 执行 特定 任务 时 ， 最 好 有 最 新 的 帮助 文件 。 但 请 记 住 ， 这 些 帮 助 文件 是 人 编写 的 ， 可 能 包含 错误 
和 遗漏 。 当 Microsoft 更 新 模块 时 ， 可 能 添加 或 删除 所 需 的 参数 。 通 过 更 新 系统 ， 可 确保 有 最 新 的 信息 来 帮助 管理 
PowerShell. 


2.6 理解 cmdlet 语法 


PowerShell cmdlet 通常 设置 为 动词 -名 词 格 式 ， 可 包含 许多 必 选 参数 和 可 选 参 数 。Update-Help 跟 在 该 上 下 文 后 
面 。 还 要 注意 ， 并 不 是 所 有 动词 都 是 英语 中 的 动词 。New-VM 是 一 个 有 效 的 cmdlet， 但 是 New 不 是 英语 中 的 动词 。 
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请 注意 ，cmdlet 通常 不 区 分 大 小 写 。 有 一 些 罕见 的 例外 ， 但 下 面 的 例子 在 功能 上 是 相同 的 ; 


Get—Vm 
get—vm 
GeT—vM 


众所周知 ， 在 cmdlet 中 有 奇怪 的 大 小 写 形式 ,会 使 阅读 和 排除 故障 变 得 非常 困难 。 传 统 上 ， 将 每 个 单词 的 第 一 
个 字母 大 写 ， 这 些 单词 放 在 一 起 ， 形 成 一 个 cmdlet 或 参数 。 变 量 、 函 数 和 模块 也 有 各 种 约定 。 传 统 上 ， 变 量 的 第 一 
个 字符 不 是 大 写 , 但 后 续 单 词 的 首 字符 是 大 写 。 变 量 $computerList 是 传统 做 法 。 它 仍然 很 容易 阅读 ， 因 为 附加 的 单 
词 是 大 写 的 ， 但 更 明显 的 是 ， 这 是 一 个 变量 ， 因 为 第 一 个 单词 不 是 大 写 的 。 


标准 是 好 的 
建议 采用 一 种 标准 ， 使 其 他 人 更 容易 阅读 和 理解 脚本 。 在 维护 脚本 时 ， 不 要 因为 对 大 小 写 形 式 太 富有 创造 性 ， 
而 让 脚本 变 得 难以 阅读 和 理解 。 


2.6.1 解释 语法 


需要 知道 哪些 参数 是 必需 的 ， 哪 些 是 可 选 的 ， 哪 些 参 数 与 其 他 参数 不 能 一 起 工作 。 
下 面 看 看 由 Help Get-Eventlog cmdlet 生成 的 语法 示例 。 
NRMEF 

bet—EventLog 


SYNOPSIS 
Gets the events In an event log, ora list of the event logs, on the local or remote computers. 


SYNTAX 

Get—EventLog [-LogName|] <String> [|[|-InstancelId|] <Int64[]>] [-After <DateTime>| [-AsBaseObjectl 
[-Before <DateTime»>| [-ComputerName <String[l]>|] [-EntryTIype {Error | Information | 
FailureAudit | SuccessAudit | Warning}|] [|-Index <Int32[]>] |[-Message <String>|] |[-Newest 
<Int32>] [-Source <String[|]>| [-UserName <String[l]>|] [<CommonParameters>|] Get-EventLog 
[-AsSstring|] [~-ComputerName <String[]>] [-List|] [<CommonParameters>| 


可 以 识别 参数 ， 因 为 它们 以 过 字符 开 头 。 看 看 下 面 的 例子 : 

Get-Eventlog -LogName Security 

Get-Eventlog cmdlet 只 有 一 个 参数 -LogName。 字 符 串 Security 告诉 PowerShell， 它 应 该 “获取 ”哪个 事件 日 志 。 
该 命令 将 获取 安全 事件 日 志 ， 并 将 其 内 容 转 储 到 控制 台 屏 磋 上 。 许 多 刚 接触 PowerShell 的 人 都 不 明日 参数 。 看 看 这 
个 错误 的 cmdlet: 

Get-Eventlog -Security 

上 面 将 参数 值 蔡 换 为 参数 的 名 称 。 承载 这 个 cmdlet 的 PowerShell 模块 不 知道 -Security 是 什么 意思 , 因为 它 不 是 
一 个 可 接受 的 参数 ， 而 Security 被 标记 为 一 个 参数 ， 因 为 它 前 面 有 连 字 符 。 

还 需要 确定 哪些 参数 是 必需 的 ， 哪 些 是 可 选 的 。 放 在 方 插 号 中 的 任何 东西 都 是 可 选 的 。 没 有 放 在 方 括号 中 的 任 
何 东 西 都 是 必需 的 。 


[-optionalstuffherel| 
[-Optionalstuff|] mandatorystuff 


下 面 看 看 与 Get-EventLog cmdlet 相关 的 第 一 个 参数 : 

Get—EventLog [-LogName|] <string> 

这 个 语法 块 表示 ，-LogName 是 可 选 的 ， 但 <string> 部 分 没有 放 在 方 括号 中 。 对 于 这 个 cmdlet， 必 须 有 <string>。 
这 意味 看 在 使 用 Get-Evenlog cmdlet 时 ， 必 须 包 含 具有 日 记名 称 的 字符 串 。 即 使 需要 字符 串 值 ， 在 这 个 实例 中 也 不 
需要 包含 -LogName 的 参数 名 。 这 可 从 LogName 完全 被 方 括号 括 起 来 的 事实 中 看 出 。 

其 余 参 数 完 全 被 方 插 号 括 起 来 。 这 意味 着 其 他 所 有 参数 都 是 可 选 的 。 注 意 ， 这 些 可 选 参 数 中 的 一 些 在 使 用 时 具 
有 强制 值 。 

下 面 的 Get- EventLog cmdlet 包含 一 个 可 选 参 数 和 一 个 强制 使 用 的 值 块 : 


[-After <DateTime>| 
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注意 -After 的 整个 参数 和 <DateTime> 值 都 完全 由 方 括号 括 起 来 。 这 说 明 , 整个 参数 是 可 选 的 。 但 要 注意 <DateTime> 
没有 额外 的 方 揪 号 。 这 意味 着 ， 无 论 何 时 使 用 -After 参数 ， 部 必须 为 <DateTime> 包 含 一 个 值 。 如 果 它 是 可 选 的 ,语法 
块 将 如 下 所 示 : 

[~-After [<DateTime>||] 

因为 LogName 参 数列 为 第 一 个 参数 ,所 以 这 也 称 为 位 置 参数 ,不必 确定 要 发 送 的 第 一 个 参数 值 (本 例 中 是 Security) 
是 与 -LogName 相关 联 的 值 ， 因 为 -LogName 是 该 命令 中 预期 的 第 一 个 参数 值 。 

在 某 些 cmdlet 中 ， 如 果 很 小 心 ， 束 可 按 非 党 特定 的 顺序 传递 大 量 参 数 ， 而 不 需要 标记 和 它们。 然而， 这样 做 使 肢 
本 几乎 难以 辨认 。 最 好 总 是 把 参数 名 包含 在 写 好 的 脚本 中 ， 这 样 它们 就 能 自我 说 明 。 包 含 参 数 名 还 意味 着 ， 可 将 参 
数控 不 同 的 顺序 排列 ， 但 PowerShell 知道 哪个 参数 值 对 应 哪个 参数 ， 因 为 参数 名 有 助 于 识别 它们 。 


2.6.2 在 cmdlet 中 使 用 空格 


PowerShell 使 用 空格 将 cmdlet 从 参数 中 分 离 出 来 ,将 参数 从 值 中 分 离 出 来 。 放 置 空格 时 需要 小 心 谨慎 ,但 可 在 
允许 空格 的 地 方 放置 任意 数量 的 空格 。 下 面 是 一 个 例子 : 

Get-EventLog -LogName Security 

这 对 于 PowerShell 来 说 是 完全 可 以 接受 的 , 因为 在 PowerShell 希望 放置 单个 空格 的 地 方 , 都 可 以 放置 多 个 空格 
或 空格 块 。 必 须 确保 空格 在 正确 的 位 置 上 。 考 虑 以 下 cmdlet 示例 : 

Get-Eventlog - LogName Security 

Get-Event Log -LogName Security 


Get— EventLog -Logname Security 
Get—EventLog -Log Name Security 


这 些 都 是 无 效 的 ， 会 产生 错误 ， 因 为 空格 放 在 PowerShell 不 需要 空格 的 地 方 。 如 果 太 有 创意 了 ， 就 很 难 阅读 ， 
PowerShell 可 能 会 认为 用 户 在 传递 额外 值 ， 或 在 添加 其 他 内 容 。 

还 要 避免 混合 空格 和 制 表 符 ， 以 使 代码 对 齐 。 使 用 空格 和 制 表 符 中 的 一 个 即 可 。 将 代码 从 一 个 脚本 复制 到 另 一 
个 脚本 时 ， 这 一 点 尤为 重要 。 混 用 制 表 符 和 空格 常 导致 失败 。 


2.6.3 ” 回 一 个 参数 传递 多 个 值 
在 许多 实例 中 ， 都 希望 为 一 个 参数 提供 多 个 值 。Get-Eventlog 语法 的 一 部 分 包括 以 下 符号 : 


[-ComputerName <StrlIng[]>] 

注意 ， 包 括 字 符 串 在 内 的 整个 参数 都 是 可 选 的 ， 因 为 整个 参数 都 是 用 方 括号 括 起 来 的 。 还 要 注意 ，<string[]> 
内 部 有 一 个 小 方 括号 。 看 到 以 这 种 方式 显示 的 两 个 方 括号 时 ， 这 意味 看 可 使 用 逗号 分 隔 的 列表 传递 多 个 值 。 检 查 下 
面 的 代码 ; 

Get—-EventLog Security ~ComputerName Server0l, Server02, Server03 

这 告诉 Get-EventLog cmdlet 从 三 个 不 同 的 服务 器 中 获取 安全 日 志 。 还 要 注意 ，-LogName 参数 的 语法 列 为 
[-LogName] <string>。 这 里 缺少 小 方 括号 ， 意 味 着 对 于 -LogName 参数 只 能 有 一 个 值 。 从 功能 上 讲 ， 这 意味 着 只 
能 获得 一 个 命名 的 事件 日 志 ， 如 Security 或 Application， 但 不 能 同时 获得 两 个 日 志 。-Computername <String[]> 
表示 ， 可 从 多 台 计 算 机 中 获得 单个 日 志 。 

习 一 种 将 多 个 值 加 载 到 参数 中 的 方法 是 ， 从 文件 中 读 取 逗号 分 陋 的 值 列表 。 这 是 一 个 例子 ; 

Get-EventLog Security -ComputerName (Get-Content c:\computerlist.txt) 

这 称 为 圆 括 号 命令 。 圆 括号 内 有 一 个 命令 ， 可 将 值 提 供给 不 同 的 参数 。Get-Content 将 读 取 文 件 ， 每 次 一 行 ， 并 
将 每 一 行 作为 -ComputerName 参数 的 单独 值 放 置 。 圆 括号 命令 的 作用 就 像 我 们 在 学 校 学 到 的 数学 规则 一 样 。 首先 执 
行 括号 中 的 操作 ， 结 果 将 成 为 传递 给 参数 的 值 。 

还 可 将 值 放 入 变量 中 ， 然 后 变量 可 将 值 传递 给 参数 。 碍 看 下 面 的 命令 ; 


scomputers = Get-Content c:\Computerlist.txt 


Get—-EventLog -LogName Security ~ComputerName $5computers 
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稍 后 将 进一步 讨论 变量 ， 但 要 使 用 第 一 行 给 变量 $compnuters 加 载 用 逗号 分 隔 的 文本 值 。 然 后 ， 将 这 个 变量 作为 
-ComputerName 参数 的 值 使 用 。 
2.6.4 使 用 Show-Command 


PowerShell 可 目 动 获 取 一 个 cmdlet， 并 将 其 显示 在 对 话 框 中 ,其 中 每 个 参数 都 有 相应 的 区 域 。 看 看 下 面 的 命令 : 
Show—Command Get—EventLog 


执行 此 命令 时 ， 会 显示 如 图 2.10 所 示 的 对 话 框 。 我 们 在 ComputerName 和 LogName 块 中 添加 了 一 些 值 ， 以 说 
明 如 何 填 充 这 些 值 。 默 认 情 况 下 ， 上 所 有 参数 的 值 都 是 空白 。 


Get-EventLog 一 口 A EN Get-EventLog 


i 加 | 2 
Parameters for "Get-EventLog": D2 Parameters for "Get-EventLog": 各 
LogName List LogName | List 
LogName: * (Security A : DD AcShir. 
After: | Computerhlame: 
L | AsBaseObject . LL List 
Befere: 


ComputerName: Server01 ServerD2, Server03 
EntryType: 
Index 


Instanceld: 


UserName: 


| © Common Parameters 


[Ran | [Cogy | Cancel 


py 
OO Common Parameters 


图 2.10 Show-Command Get-EventLoeg 的 执行 结果 


这 将 显示 该 命令 特定 的 所 有 参数 , 允许 填写 每 个 参数 。 注意 , LogName 有 一 个 星 号 , 这 意味 着 该 参数 是 必 选 的 。 

List 选项 卡 显示 哪个 参数 将 接受 一 组 值 。 可 在 ComputerName 字段 中 输入 它们 ， 并 用 逗号 分 隔 。 

选择 Copy 时 ，PowerShell 将 在 剪贴 板 中 复制 得 到 的 命令 。 如 果 选 择 Run， 它 将 把 得 到 的 命令 放 入 PowerShell 
控制 合 ， 用 于 局 动 Show-Command。 结 果 如 下 : 

Get-EventLog -LogName security -ComputerName Server01，Server02，Server04^M 


末尾 的 ^ M 代表 回 车 符 。 如 果 按 下 键盘 上 的 Enter 键 ， 就 会 执行 命令 。 
2.6.5 ”使 用 -Whatlf 


-WhatIf 是 一 个 方便 的 参数 。 它 允许 查看 cmdlet 的 结果 ， 而 该 cmdlet 不 会 对 系统 执行 任何 更 改 。 注 意 ， 如 果 传 
递 Stue $false， 则 必须 使 用 冒号 。 如 果 不 传递 任何 参数 ， 它 默认 为 Stue。 这 有 助 于 验证 所 使 用 的 命令 是 否 提供 了 所 
需 的 输出 和 结果 。 在 使 用 带 有 -WhatIf 参数 的 cmdlet 时 ， 不 会 更 改 任何 内 容 ， 也 不 会 执行 任何 操作 。 

如 果 执 行 cmdlet， 会 看 到 生成 的 输出 。 当 不 确定 确切 的 格式 时 ， 这 可 能 有 很 大 的 帮助 。 如 果 决 定 使 用 cmdlet， 
但 不 标记 参数 ， 而 是 依赖 参数 位 置 ， 这 也 会 有 很 大 帮助 。 参 数 的 顺序 错误 是 很 常见 的 ，-WhatIf 有 助 于 避免 发 生 严 
重 的 配置 错误 。 当然 , 微软 建议 始终 将 参数 标签 放 在 任何 写 好 的 脚本 或 引用 文件 上 。 这 样 做 更 便于 阅读 和 解决 问题 。 
然后 ， 可 使 用 -Whatif 作为 保险 ， 以 确保 得 到 预期 的 输出 。 


附加 的 辅助 轮 
学 习 命 令 时 ，-WhatIf 参数 非常 有 用 ， 因 为 很 难 在 无 意 中 执行 不 适当 的 配置 更 改 。 使 用 -WhatIf 时 ， 没 有 任何 实 
际 改变 。 


注意 下 面 的 例子 和 结果 : 
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Remove—-Item C:\nano\nano-srv02.vhd ~WhatIf 
What if: Performing the operation "Remove File™" on target "“C:\nano\nano-srv02.vhd". 


该 文件 从 未 删除 ， 但 它 显示 了 如 果 执 行 该 cmdlet 会 发 生 什 么 。 
2.6.6 ”使 用 -Confirm 
这 个 参数 在 运行 命令 之 前 请 求 确认 ， 来 帮助 降低 风险 : 


-Confirm[:{Strue | $false}] 

它 将 临时 窗 新 $ConfirmPreference 变量 。$ConfirmPreference 变量 的 默认 值 是 High。 这 与 cmdlet 的 潜在 风险 相 
当 。 如 果 潜 在 的 风险 等 于 或 大 于 $ConfirmPreference 设置 ，cmdlet 总 会 要 求 确 认 ， 除 非 添 加 了 -Confirm: $false。 其 他 
风险 较 小 的 cmdlet 通常 会 抑制 确认 功能 。 

如 果 执 行 大 量 更 改 (可 能 是 循环 的 一 部 分 )，-Confirm 参数 也 很 有 有 用。 每 次 操作 都 会 要 求 确认 。 这 有 助 于 防止 对 
可 能 不 太 明 显 的 项 应 用 不 正确 的 配置 ， 例 如 从 文件 中 读 取 的 内 容 或 通过 计算 或 其 他 不 太 明 显 的 方法 识别 的 项 。 

在 ISE 中 使 用 -Confirm 时 ， 会 得 到 如 图 2.11 所 示 的 对 话 框 。 


[>| Confirm 一 口 和 


Are you sure you want to perform this action? 
Performing the operation "Remove File” on target LNnanowanmo-srv0owvhd ， 


图 2.11 ISE 中 的 -Confirm 参数 


在 各 规 PowerShell 控制 台中 使 用 -Confirm 参数 时 ， 会 看 到 以 下 内 容 : 


Remove—Item C:‘\nano\nano—srv05.vhd ~—Confirm 

Are YDU 3ure YOU want to perform this action? 

Performing 七 he operation "RemoVve File™ on target "“C:\nano\nano—-srv05.vhd". 

[Y|] Yes [A] Yes to All [INI No [ID No to All [S|] Suspend [?|] Help (default 135 "Y"): 


是 显示 对 话 框 还 是 在 控制 台 上 显示 文本 并 不 重要 ;， 所 提供 的 选项 是 相同 的 ， 结 果 也 相同 。 

如 果 选 择 Yes， 就 执行 操作 。 如 果 操 作 是 循环 的 一 部 分 ， 就 会 收 到 额外 的 确认 提示 。 如 果 选 择 Yes To All， 就 执 
行 操 作 ， 包 括 任何 循环 ， 并 抑制 此 cmdlet 操作 的 进一步 确认 提示 。 如 果 选 择 No， 则 不 会 执行 操作 ， 但 是 如 果 执 行 
cmdlet 的 多 个 进 代 ( 可 能 在 循环 中 )， 可 能 会 有 进一步 的 提示 。 如 果 选 择 No To All， 此 cmdlet 的 所 有 操作 都 将 停止， 
不 会 显示 任何 后 续 提 示 。 

Suspend 选项 会 使 当前 cmdlet 暂停 ， 并 启动 一 个 酝 套 的 PowerShell 会 话 。 这 个 髓 套 的 会 话 通过 在 命令 提示 符 中 
添加 两 个 额外 的 插入 和 从 号 (>>) 来 表示 。 在 这 个 髓 套 的 会 话 中 ， 可 运行 其 他 cmdlet 和 脚本 。 完 成 散 套 的 会 话 时 ， 可 以 
输入 Exit 退出 。 这 样 束 会 返回 -Confirm 提示 。 然 后 ， 需 要 决定 确认 选项 ， 如 前 所 述 。 这 样 就 可 能 有 机 会 加 载 一 些 变 
量 或 执行 其 他 任务 ， 以 确保 cmdlet 在 返回 时 能 够 正常 工作 。 

这 个 -Confirm 提示 的 ?选项 将 显示 确认 选项 的 帮助 。 

默认 操作 是 Y， 或 者 Yes。 如 果 只 是 按 住 Enter 键 不 放 ， 这 个 YY 会 发 送 到 控制 台 。 要 小 心 ， 如 果 按 住 Enter 键 
放 ， 会 自动 确认 为 Yes， 就 会 执行 cmdlet。 


2.6.7 ” About 文件 


Get-Help 对 获取 特定 cmdlet 的 特定 信息 非常 有 用 。Microsoft 还 包含 About 文件 ， 帮 助 解释 PowerShell 概念， 
包括 脚本 技术 、 脚 本 语言 、 操 作 符 和 其 他 内 容 。About 帮助 文件 不 支持 -Full 或 -Example， 因 为 它们 只 涉及 概念 和 主 
题 。 它 们 支持 -Online 和 -ShowWindow。 

要 得 看 所 有 本 地 可 用 的 About 文件 列表 ， 只 需要 输入 以 下 命令 : 

Get-HelP About 

查看 特定 主题 的 About 文件 时 ， 可 使 用 Get-Help About。 只 需要 添加 主题 名 称 即 可 。 例 如 : 


Get—Help About ALIases 
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这 个 帮助 主题 有 一 个 短 摘 述 和 一 个 长 描述 。 下 面 是 输出 的 一 个 示例 部 分 : 
PS C:\Users\Administrator> Get-Help about Aliases 


TOPIC 
about aliases 


SHORT DESCRIPTION 
Describes how to use alternate names for cmdlets and commands in Windows 
PowerShell. 


LONG DESCRIPTION 
An alias is an alternate name or nickname for a cmdlet or for a command element, such as 
a function, script, file, or executable file. You can use the alias instead of the command 
name in any Windows PowerShell commands. 
To create an alias, use the New-Alias cmdlet. For example, the following 
command creates the "gas" alias or the Get-AuthenticodeSignature cmdlet: 
New-Alias -Name gas -Value Get-AuthenticodeSignature 


After you create the alias for the cmdlet name, You can use the alias instead of the cmdlet 
name. For example, to get the Authenticode signature for the Sqlscript.psl] file, type: 
Get—AuthenticodeSignature Sgqlscript.psl 
Or tvype: 
gas Sqlscript .psl 


查看 about aliases 的 这 一 部 分 ， 束 可 以 开始 了 解 如 何 创建 自己 的 别名 。 可 为 cmdlet、 肢 本、 函数 甚至 可 执行 文 
件 创建 别名 。 在 About 文件 中 进一步 阅读 ， 应 该 会 明白 创建 别名 需要 做 什么 。 


别名 可 使 工作 变 得 轻松 或 艰难 

管理 员 有 时 会 使 用 别名 来 替换 长 命令 ， 以 便 键 入 和 记忆 。Dir 是 Get-ChildItem 的 别名 。 请 记 住 ， 除 非 在 代码 中 
声明 别名 或 在 配置 文件 中 加 载 别 名 ， 否 则 别名 在 会 话 之 间 无 法 存活 。 如 果 构 建 了 别名 库 ， 对 于 不 熟悉 “自制 ”替换 
命令 的 人 来 说 ， 维 护 代 码 将 非常 困难 。 定 制 很 棒 ， 但 需要 在 便利 性 和 长 期 可 用 性 之 间 找 到 平衡 。 


2.7 理解 缩短 命令 的 语法 


PowerShell 试图 非常 通融 。 微 软 知 道 有 数 百 个 cmdlet， 也 花 了 很 多 精力 试图 使 这 些 cmdlet 更 加 直观 。 反 复 使 用 
相同 的 命令 时 ， 键 入 整个 命令 会 变 得 很 乏味 ， 特 别 是 其 中 一 些 命令 还 相当 长 。 还 会 遇 到 这 样 的 问题 : 不 完全 确定 应 
该 使 用 的 确切 cmdlet 语法 。 微 软 提 供 了 一 个 简短 的 语法 ， 以 及 别名 和 制 表 符 补 全 功能 ， 使 输入 工作 更 轻松 。 

市 制 表 符 补 全 功能 的 缩短 命令 语法 意味 者 ， 可 键入 命令 的 一 部 分 ， 然 后 按 Tab 键 要 求 PowerShell 查看 会 话 加 载 
的 所 有 模块 ， 答 试 找 出 要 使 用 的 命令 。 如 果 有 几 种 选择 ， 就 可 以 继续 按 Tab 键 过 有 历 命 令 ， 直 到 找到 想 要 的 命令 为 止 。 
也 可 以 对 参数 执行 这 个 操作 。 

通过 制 表 人 符 补 全 功能 来 确定 确切 的 命令 或 参数 名 称 有 两 个 优点 : 可 获得 正确 的 cmdlet 或 参数 ， 显 示 完 整 的 
cmdlet 和 参数 名 称 ， 使 文本 更 易于 阅读 、 理 解 、 维 护 和 排除 故障 。 下 面 是 一 个 例子 

Get-Service MpsSVC -ComputerName Boston-Srv01 

如 果 只 是 键入 G， 然 后 按 Tab 键 ， 就 必须 过 历 以 字母 G 开头 的 所 有 cmdlet、 动 词 和 别名 ， 这 个 列表 非常 长 。 问 
题 是 输入 的 内 容 太 模棱两可 了 。 必 须 消 除 卜 义 ， 或 者 键入 足够 多 的 字母 ， 以 便 PowerShell 对 要 使 用 的 命令 有 更 好 的 
理解 。Get-is 很 容易 理解 和 记忆 ， 因 为 它 一 直 在 使 用 。 只 需要 输入 Get-S。 在 很 多 Get 命令 中 ,“ 名 词 ” 以 字母 S 开 
头 ， 如 果 一 过 又 一 过 地 按 Tab 键 ， 最终 会 找到 需要 的 命令 ; 但 是 为 了 市 省 时 间 ， 应 添加 更 多 字符 来 消除 卜 义 。 注 意 ， 
PowerShell 会 遇 历 为 这 个 特定 会 话 加 载 的 所 有 模块 。 根 据 配 置 文件 、 默 认 值 以 及 在 $env:PSModulePath 变量 中 定位 
和 加 载 的 模块 的 不 同 ， 为 缩短 列表 而 需要 键入 的 字母 数量 可 能 会 因 系 统 、 会 话 和 配置 文件 而 异 。 

命令 中 的 下 一 个 内 容 是 服务 的 名 称 。 如 果 阅 读 Get-Help Get-Service 信息 ,就 可 以 简单 地 按 下 Enter 键 ,Get-Service 
命令 将 提供 本 地 机 器 运行 的 服务 列表 。 如 果 只 是 按 Tab 键 ， 服 务 将 目 动 列 出 ， 直 至 找到 想 要 的 服务 为 止 。 

请 记 住 ，PowerShell 不 能 目 动 回 远程 机 器 伸 出 手 来 ， 猜 测 出 用 户 要 输入 的 内 容 。 可 以 编写 帮助 自动 完成 该 过 程 
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的 脚本 和 函数 ， 但 可 能 需要 在 远程 机 器 上 局 动 一 个 会 话 ， 来 加 载 所 有 模块 ， 或 将 模块 导入 本 地 控制 台 。 当 然 ， 也 可 
以 简单 地 键入 命令 。 最 终结 果 是 一 样 的 。cmdlet 上 制 表 符 完 成 功能 的 示例 如 下 所 示 : 

Get-Ser MP TAB TAB 

这 会 变 成 Get-Service MpsSvc。 

下 一 位 是 一 个 参数 。 只 输入 -C TAB,， 会 发 现 它 是 独一无二 的 。 按 下 空格 键 ， 再 按 Tab 键 不 会 列 出 可 使 用 的 计算 
机 列表 。 这 里 只 需要 知道 所 需 的 值 即 可 。 

那么 ， 如 果 和 输入 足够 多 的 字符 来 消除 部 分 的 歧义 ， 而 不 是 按 Tab 键 ， 会 上 友 生 什么 呢 ? 结果 如 下 : 

Get-ser mp -c boston-srv01 

这 不 是 很 容易 读 懂 。 如 果 按 Enter 键 ， 结 果 如 下 : 


get—ser : The term ‘get—-ser' 13 not recognized as the name of a cmdlet, function, script file, 
or operable program. Check the spelling of the name, or if a path was included, verify that 
the path is correct and 七 TY again. 
At line:l1 char:l1] 
+ get—ser mp -C boston—srv0l 
和 
+ Categorylnfo : ObjectNotFound: (get—-ser:String) [], CommandNotFoundException 
+ FullyQualifiedErrorId : CommandNotFoundException 


get-ser 下 和 面 的 波浪 线 说 明 ，PowerShell 任何 已 加 载 模块 中 都 没有 名 为 get-ser 的 cmdlet。 这 是 一 个 重要 的 概念 。 
为 使 用 制 表 符 补 全 功能 而 输入 足够 多 的 字符 ， 以 消除 cmdlet 歧义 ， 却 不 能 解析 出 命令 的 快捷 方式 。 消 除 参数 的 歧义 
是 可 行 的 ， 但 需要 输入 完整 的 命令 或 使 用 别名 。 


让 工作 更 轻松 

应 该 总 是 尝试 使 用 制 表 符 补 全 功能 和 完整 的 参数 名 称 ， 以 使 代码 更 易于 阅读 、 理 解 ， 也 更 易于 排除 故障 和 进行 
维护 。 简 短命 令 可 用 于 快速 完成 操作 , 但 制 表 符 补 全 功能 提供 了 额外 的 保证 , 因为 它 更 明显 地 指出 , 要求 PowerShell 
完成 的 就 是 我 们 实际 想 要 完成 的 。 在 写 好 的 代码 中 ， 与 脚本 一 样 ， 始 终 使 用 完整 的 命令 和 参数 。 


2.8 ”探索 PowerShell 命令 概念 


使 用 别名 Help( 而 不 是 Get-Help) 告 诉 PowerShell， 一 次 只 显示 一 整 屏 信 息 。 可 使 用 Get-Help 或 Help 来 发 现 更 
多 命令 。 记 住 ， 寻 求 帮助 不 会 对 系统 执行 任何 更 改 。 可 党 试想 到 的 一 切 操作 ， 去 发 现 自己 到 底 想 要 完成 什么 。 
假设 想 更 改 网 络 适配器 的 MAC 地址， 可 从 以 下 命令 开始 : 


Get—Command *adapter 


* 是 一 个 通配符 ， 表 示 获 取 以 adapter 结尾 的 任何 命令 。 删 除 下 面 的 Hyper-V 特定 内 容 ， 输 出 如 下 : 


CommandType Name Version Source 

Function Add-—-NetEventNetworkAdapter 1.0.0.0 NetEventPacketCapture 
Function Add—-NetEventVmNetworkAdapter 1.0.0.0 NetEventPacketCapture 
Function Disable-NetAdapter 2.0.0.0 NetAdapter 

Function Enable-NetAdapter 2.0.0.0 NetAdapter 

Function Get—NetAdapter 2.0.0.0 NetAdapter 

Function Get-—-NetEventNetworkAdapter 1.0.0.0 NetEventPacketCapture 
Function Get-NetEventVmNetworkAdapter 1.0.0.0 NetEventPacketCapture 
Function Remove—-NetEventNetworkAdapter 1.0.0.0 NetEventPacketCapture 
Function Remove—-NetEventVmNetworkAdapter 1.0.0.0 NetEventPacketCapture 
Function Rename—NetAdapter 2.0.0.0 NetAdapter 

Function Restart-NetAdapter 2.0.0.0 NetAdapter 

Function Set—NetAdapter 2.0.0.0 NetAdapter 


Set-NetAdapter 看 起 来 很 不 错 。 执 行 Help Set-Netadapter 命令 。 下 面 是 相关 输出 : 


Set-Netadapter [-Name|] <String[]> [-AsJob] [-CimSession <Cim3Session[|]>|] [-IncludeHiddenl| 
[-MacAddress <String>| [-NoRestart] [-PassThru] [-ThrottleLimit <Int32>] [-VLanID <UInt1L6>] 
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[-Confirm| [-WhatIf] [<CommonParametersy>l| 


-MacAddress 部 分 被 突出 显示 。 记 住 ，PowerShell 还 没有 读 心 术 ， 给 它 一 点 时 间 。 
如 果 执 行 相同 的 命令 ， 但 添加 -Examples 参数 并 滚动 一 点 ， 就 会 发 现 ; 


Example 2: Set the MAC address of the specified network adapter 


Set—NetAdapter -Name "Ethernet 1" ~MacAddress "00-10-18-5/-1B-0D" 
This command sets 七 he MAC address of 七 he network adapter named Ethernet 1. 


因此 ， 现 在 知道 可 通过 一 个 简单 命令 来 更 改 MAC 地 址 。 使 用 相同 的 技术 可 发 现 各 种 附加 命令 。 其 要 点 是 ， 如 
果 想 完成 一 个 特定 任务 ， 通 党 可 找到 执行 该 任务 的 命令 。 


2.8.1 ”实现 管道 


我 们 常 希 望 将 一 个 命令 的 输出 变 成 下 一 个 命令 的 输入 ， 从 而 将 命令 连接 起 来 。Microsoft PowerShell 使 用 竖 杠 (|) 
字符 很 容易 把 命令 连接 起 来 。 在 许多 键盘 上 ， 这 个 字符 与 反 斜 杠 字 符 作 是 同一 个 键 ， 只 是 需要 按 下 Shift 键 。 

可 使 用 竖 杠 字符 将 几 个 命令 连接 在 一 起 。 这 些 命 令 从 左 到 右 依 次 执行 。 左 边 命令 的 输出 添 加 到 管道 中 ， 并 作为 
输入 发送 给 右边 的 命令 。 如 果 有 多 个 竖 杠 字符 ， 和 它们 总 是 从 左 到 右 执行 。 

每 次 按 Enter 键 ， 都 将 运行 整个 党 道 ， 最 后 一 个 命令 的 任何 最 终 和 输出 都 将 显示 出 来 。 不 是 所 有 命令 都 有 可 显示 
的 输出 。 看 看 下 面 的 例子 : 

Get-EventLog Security | Out-File c:\SecurityEvents.txt 

这 将 获取 本 地 安全 事件 日 志 的 内 容 并 将 其 放 入 管道 中 。 然 后 将 这 些 数据 发 送 给 Out-File 命令 ， 该 命令 接收 管道 
的 内 容 并 将 其 用 作 输 入 源 。 最 终结 果 是 ， 由 于 Out-File cmdlet 的 性 质 ， 安 全 事件 日 志 的 内 容 会 发 送 到 文本 文件 。 大 
多 数 PowerShell 命令 不 会 生成 文本 文件 。PowerShell 命令 通 弟 会 生成 对 象 。 


2.8.2 ”研究 对 象 和 成 员 


对 象 拥 有 成 员 。 成 员 是 组 成 对 象 的 各 种 组 件 。 对 象 的 成 员 可 能 包括 属性 、 事 件 和 方法 。 可 使 用 管道 获取 特定 对 
象 的 成 员 信 息 ， 方 式 是 获取 对 象 ， 然 后 将 结果 输送 到 Get - Member cmdlet 中 ， 如 下 所 示 : 

Get-Service | Get-Member 

请 注意 ， 第 一 个 命令 Get-Service 会 运行 。 在 这 个 例子 中 ， 它 并 不 太 和 危险 ; 但 如 果 执 行 的 是 破坏 性 命令 的 成 员 ， 
比如 Remove-Item， 就 将 实际 删除 特定 项 。-WhatIf 参数 不 起 作用 ， 因 为 它 只 同 控 制 台 提供 文本 输出 ， 而 不 为 
Get-Member cmdlet 生成 任何 实际 输出 。 

还 需要 确保 第 一 个 命令 的 输出 与 管道 中 下 一 个 命令 的 预期 输入 匹配 。 检 查 下 面 的 代码 : 

Get-Service | Set-ACL 

Get-Service 命令 的 输出 与 Set-ACL 命令 的 输入 要 求 不 匹配 。 这 只 会 为 Get-Service 命令 放 到 管道 中 的 每 个 对 象 
产生 一 个 错误 。 在 使 用 管道 时 ， 始 终 需 要 将 前 一 个 命令 的 输出 与 下 一 个 命令 的 预期 输入 匹配 。 

回 到 最 初 的 命令 Get-Service | Get-Member 时 ， 将 看 到 Get-Service 在 管道 中 放置 的 对 象 的 成 员 具 有 属性 、 事 件 
和 方法 。 


2.8.3 探索 属性 、 事 件 和 万 法 


属性 描述 了 对 象 的 各 种 属性 。 使 用 Get 和 Set 命令 一 般 操作 的 是 属性 。Service 对 象 的 一 些 属性 是 MachineName、 
StartType 和 CanShutdown。 这 些 属性 可 用 来 指示 PowerShell 要 显示 或 操作 的 内 容 。 

可 在 对 象 执行 操作 时 触发 事件 。 打 开 文 件 或 运行 进程 可 能 触发 事件 。Get-Service 中 作为 成 员 列 出 的 唯一 事件 是 
Disposed 事件 。Disposed 指出 , 指示 脚本 释放 外 部 资源 , 例如 文件 句柄 、 数 据 库 连 接 或 TCP 端口 。 深 入 了 解 PowerShell 
编程 时 ，Disposed 事件 可 帮助 确保 释放 这 些 资源 。 

如 有 末 在 复制 脚本 卢 段 以 供 重用 时 过 于 有 创意 ， 这 一 点 束 特 别 重 要 。 通 币 ， 管 理 员 会 抓 取 有 和 希望 重用 的 部 分 ， 
但 扎 记 抓 取 垃圾 清理 部 分 。 这 会 导致 资源 的 消耗 ， 而 不 释放 资源 。 因 此 系统 可 能 不 稳定 ， 或 者 资源 实际 上 已 耗 义 ， 
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可 能 导致 朋 沉 。 随 着 对 PowerShell 脚本 的 深入 了 解 ， 应 确保 总 是 清理 资源 ， 而 Disposed 事件 可 确保 已 经 进行 了 
清理 。 

为 告诉 对 象 执 行 某 种 类 型 的 操作 ， 需 要 使 用 方法 。Close、Pause、Start 和 Stop 都 是 与 Service 对 象 关 联 的 方法 
示例 。 显 然 ， 这 将 帮助 我 们 关闭 、 暂 停 、 局 动 和 信 止 服务 ， 非 党 方便。 也 许 应 该 把 它 添加 到 cmdlet 库 中 。 

属性 、 事 件 和 方法 特定 于 每 种 类 型 的 对 象 。 记 住 ， 生 成 对 象 的 是 命令 。 一 些 命令 将 生成 多 种 类 型 的 对 象 。 如 果 
在 具有 多 种 对 象 类 型 的 管道 上 使 用 Get-Member 命令 ， 则 会 得 到 每 种 对 象 类 型 的 单独 成 员 列 表 。 如 果 没 有 将 其 上 友 送 
到 文本 文件 中 ， 拉 取 如 此 多 的 对 象 和 成 员 ， 会 使 控制 台 缓 冲 区 淤 出 ， 从 而 产生 不 可 用 的 输出 。 这 看 起 来 很 酷 ， 但 最 
终 坚 无 意义 。 


2.8.4 执行 对 象 的 排序 操作 


将 对 象 可 视 化 为 电子 表格 中 的 表 可 能 很 有 用 。 每 一 列 都 有 不 同 的 属性 ， 每 一 行 标识 特定 的 对 象 。 运 行 返回 多 个 
对 象 的 命令 就 像 回 表 中 添加 行 一 样 。 
例如 ，Get-Service 如 果 转 储 到 电子 表格 中 ， 将 创建 一 个 表 ， 如 表 2.1 所 示 。 


表 2.1 Get-Service 对 象 


状态 显 示 名 
Sopped No Rover Series 
Running Appinfo Application Information 
stopped AppMemt Application Management 


stopped AppReadiness App Readiness 


这 个 表 只 包含 一 部 分 对 象 , 因为 总 共有 200 多 个 对 象 。 表 中 的 每 一 行 都 是 一 个 对 象 。 每 个 列 都 是 该 对 象 的 属性 。 
不 是 所 有 属性 都 默认 显示 ， 但 它们 仍然 包含 在 放 入 管 逢 的 对 象 中 。 这 组 对 象 称 为 集合 ， 或 对 象 数 组 。 

可 使 用 PowerShell 将 对 象 列 表 拉 到 管道 中 ， 然 后 根据 需要 的 任何 条 件 给 对 象 排 序 。 通 单 ，cmdlet 会 根据 对 象 的 
名 称 按 字 母 顺 友 上 自动 对 管道 中 的 对 象 排 上 到。 这 就 是 表 2.1 中 Get- Service cmdlet 的 默认 值 。 

如 果 知 道 对 象 所 需 属 性 的 特定 名 称 ， 就 可 指示 PowerShell 根据 不 同属 性 进行 排序 ， 甚 至 根据 属性 的 组 合 进 行 排 
序 。 默 认 情 况 下 ， 字 符 串 属性 不 区 分 大 小 写 ， 按 升序 排序 。 对 象 基 于 对 象 类 型 的 默认 属性 排序。 

可 更 改 默认 值 ， 以 满足 特定 需求 。 为 此 应 使 用 Sort-Object cmdlet。 这 个 cmdlet 有 一 个 简单 的 别名 Sort。 下 面 是 
Sort-Object cmdlet 的 一 些 示例 : 

Get-Service | Sort-Object -Property Name -Descending 


Get—Service | Sort-object Name -Descending 
Get—Service | Sort-oObject -Descending 


这 三 个 示例 都 执行 相同 的 操作 ， 因 为 名 称 是 默认 的 排序 键 。 如 果 碍 看 Help Sort-Object， 会 发 现 以 下 语法 : 


Sort-Ob]Jject [[-Property|] <Object[]>|] [-CaseSensitivel] [-Culture <String>|] [-Descenadling| 
[-Inputobject <PSObject>|] [-Unique] [<CommonParameters>| 


通过 搜索 About_Sort-Object， 可 探索 更 深层 次 的 语法 ， 但 一 些 参 数 非 常 有 用 。 
[[[-Property] <Object[]>] 说 明 ， 可 指定 一 个 或 多 个 属性 。 这 是 一 个 可 选 参数 ， 但 可 通过 逗号 分 隔 的 列表 传 
递 多 个 参数 。 如 果 传 递 多 个 属性 ,它们 将 按 第 一 个 列 出 的 属性 排序 。 如 果 多 个 对 象 的 第 一 个 属性 相同 ， 那 
么 对 象 将 按 第 二 个 列 出 的 属性 排序 。 如 果 前 两 个 属性 有 多 个 结果 ， 就 按 第 三 个 属性 排序 ， 以 此 类 推 。 

令 ”[-Unique] 是 一 个 可 选 参数 ， 它 授 历 害 道 ， 标 识 害 道 集合 的 唯一 成 员 。 任 何 副 本 都 将 被 丢弃 。 此 参数 不 区 
分 大 小 写 。 

因此 ， 如 果 和 希望 根据 状态 和 名 称 对 服务 进行 排序 ， 则 可 使 用 以 下 命令 : 


Get—Services | Sort-ob]ect -Property Status, Name 
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Status Name DisplayName 
Stopped AJRouter AllJoyn Router Service 
Stopped ALG Application Layer Gateway Service 
Stopped APPIDSVC Application Identity 
Stopped AppMoamt Application Management 
Stopped AppReadiness ApPp Readiness 
Stopped AppYCl1ient Microsoft APP-V Client 
Stopped 有 PPXSVTC 有 PPX Deployment Service (AppPXSYV) 
Stopped AudioEndpointBu... Windows Audio Endpoint Builder 
Stopped Audiosrv Windows Audio 
Stopped AxInstSsV ActiveXxX Installer (AxInstsV 


如 果 检查 管道 ， 会 看 到 对 象 及 其 属性 按 Status 属性 排序 ， 之 后 按 Name 属性 排序 。 
2.8.5 度量 对 象 
在 脚本 中 度量 各 种 对 象 很 有 用 。 这 可 以 包括 管道 中 对 象 的 数目 。 为 此 使 用 Measure-Object cmdlet。 下 面 是 语法 : 


Measure—Object [[-Property| <Sstring[l]>|] [-Average|] [-Inputobject <PSObject>] [~-Maximuml| 
[~-Minimum| [-Sum] [<CommonParametersy»>| 


默认 情况 下 ，Measure-Object cmdlet 只 计算 集合 中 对 象 的 数量 。 还 可 执行 其 他 四 种 度量 : 平均 值 、 总 和 、 最 大 
值 和 最 小 值 。 注 意 以 下 命令 的 输出 : 

Get—-Process | Measure-Ob]Jject -Property Workingset -~Minimum -MaxlImum 一 Average 一 Sum 

Count : 10 

Average : 401007i16.2282114 

Sum : 2807054336 

Maximum  : 684228608 

Minimum  : 4096 

Property: WorKInGSet 

工作 集 是 与 特定 进程 相关 联 的 RAM 的 数量 。 此 命令 将 收集 系统 中 所 有 正在 运行 的 进程 。 总 数 为 70。 这 些 对 象 
及 其 所 有 属性 将 作为 一 个 集合 提交 到 Measure-Object cmdlet 的 管道 中 。 

所 提供 的 指令 基于 对 象 的 WorkingSet 属性 来 度量 对 象 。 接 着 Measure-Object cmdlet 显示 所 有 70 个 进程 所 消耗 
的 平均 内 存量 。 它 显示 分 配给 进程 的 最 大 RAM 数量 ， 即 Maximum; 还 显示 分 配给 进程 工作 集 的 RAM 的 最 小 值 ， 
即 Minimum。 可 能 最 有 用 的 是 Sum。 这 是 分 配给 系统 上 所 有 进程 的 RAM 总 量 。 使 用 这 些 信 息 可 确定 文 持 正 在 运行 
的 进程 所 需 的 最 小 RAM 量 ， 而 不 需要 开始 同 页 面 文件 发 送 RAM。 


现在 运行 的 可 能 不 是 以 后 运行 的 

记 住 ， 事 情 是 可 以 改变 的 。 不 应 该 依赖 于 当前 工作 集 总 和 这 个 度量 标准 来 确定 服务 器 。 而 需要 随 着 时 间 的 推移 
来 衡量 这 些 对 象 。 如 果 打 算 使 用 自己 的 小 代码 片段 ， 则 可 能 想 添加 额外 的 位 ， 并 将 全 部 内 容 合并 到 一 个 脚本 中 ， 该 
脚本 作为 调度 好 的 作业 运行 。 这 展示 了 如 何 将 在 前 一 章 和 本 书 所 学 到 的 内 容 运用 到 现在 和 将 来 学 习 的 知识 中 。 


2.8.6 ”使 用 Select-Object 选择 管道 中 的 对 象 子 集 


用 户 可 能 不 想 查 看 官 道 集合 中 的 所 有 对 象 。 如 果 只 想 查 看 集合 中 顶部 或 压 部 的 一 些 对 象 ， 这 一 点 尤其 正确 。 为 
此 ， 使 用 Select-Object cmdlet。 下 面 是 语法 : 

Select—Object [[-Property|] <object[|]>] [-ExcludeProperty <String[l|]>|] |[-ExpandProperty 

<String>] [-First <Int32>|] [-Inputobject <PSObject>]|] [-Last <Int32>|] [-Skip <Int32>|] [-Uniquel 

[-Wait] [<CommonParametersy>| 

Select - Object 将 进入 党 着 集合 ， 人 允许 选择 前 面 或 后 面 的 对 象 (无 论 有 多 少 对 象 )。 它 们 对 应 于 集合 中 的 行 。 还 可 
以 选择 要 包含 和 排除 的 特定 属性 。 例 如 ， 如 果 想 查看 消耗 系统 RAM 的 前 5 个 进程 ， 可 使 用 以 下 命令 : 


Get—-Process|Sort-Object ~-Property WorkingSet ~Descending | Select-Object -Property Workingset, 


PFrocessName 一 FlIrst 5 
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WorkingSset ProcessName 
632811232 powershell 
1717840128 VImms 
141591168 powershell ise 
143896576 LobAPP 
112848896 ServerManager 


可 选择 对 象 的 指定 属性 。 指 定 -First 和 -Last 可 显示 集合 顶部 或 底部 特定 数量 的 对 象 。 请 注意 ， 如 果 在 选择 对 象 
之 前 没有 对 集合 进行 排序 ， 那 么 它们 的 顺序 是 随机 的 。 可 使 用 -Skip 参数 跳 过 特定 数量 的 对 象 。 还 可 以 使 用 -Unique 
参数 只 选择 唯一 的 值 。 

使 用 -Properties 参数 时 , Select-Object 将 删除 所 有 未 指定 的 属性 。 如 果 想 查看 所 有 属性 , 但 有 选择 地 删除 特定 属性 ， 
可 使 用 -Exclude 参数 。 


PowerShell 有 时 会 出 错 

注意 ，PowerShell 并 不 总 是 显示 对 葵 的 正确 属性 名 。 如 果 只 运行 Get-Process 命令 ， 会 看 到 默认 显示 的 属性 。 列 
顶部 列 出 的 属性 标题 可 能 不 是 属性 的 实际 名 称 。 例 如 ，WS (ia 引 用 属性 WorkingSet。WorkingSet WS 有 一 个 别名 。 
所 以 可 使 用 -Parameter WorkingSet 或 -Parameter WS。 如 果 尝 试 使 用 -Parameter WS (k)， 命 令 将 失败 ， 因 为 对 象 不 包 
含 WS (KE) 属性 ， 任 何 试图 使 用 该 错误 名 称 的 脚本 都 将 失败 。 要 确定 实际 的 属性 名 ， 请 使 用 Get-Member cmdlet. 


使 用 管道 时 ， 特 别 是 连接 到 其 他 管道 的 管道 ， 必 须 小 心 处 理 数据 的 类 型 和 格式 。 通 常 一 次 对 一 个 命令 进行 故障 
排除 比较 容易 。 应 该 使 用 第 一 个 cmdlet 并 单独 运行 它 ， 看 看 它 的 结果 。 一 旦 cmdlet 正常 工作 ， 束 添加 下 一 个 命令 
并 使 用 它 ， 直 到 它 提供 所 需 的 结果 。 在 构建 最 终 命 令 时 ， 应 该 继续 这 个 过 程 。 

还 可 在 单独 一 行 上 键入 每 个 命令 ， 以 便 保持 各 个 cmdlet 的 正确 性 。 如 果 命 令 行 以 管道 字符 结束 , 或 者 没有 输入 
所 有 必需 的 参数 ， 或 者 未 天 财 所 有 的 引号 、 插 号 或 大 括号 等 ， 束 会 进入 扩展 提示 模式 。 如 下 所 示 : 

PS C:\Users\Administrator> get-process|get-member | 

>> sort—-object " 

>> name 

» 


在 第 一 行 中 ， 在 管道 字符 之 后 按 下 Enter 键 。 这 告诉 PowerShell 还 有 更 多 内 容 。 用 一 个 单 引 号 结束 第 二 行 ， 对 
应 的 男 一 个 单 引 号 在 第 四 行 。PowerShell 知道 还 有 更 多 内 容 ， 所 以 继续 提示 用 户 输入 。 最 终 在 第 4 行 按 下 Enter 键 
时 ，PowerShell 不 会 期 竺 用 户 输入 其 他 任何 参数 或 字符 ， 而 是 执行 命令 。 只 要 输入 不 包 合 必 选 参数 或 不 包含 字符 (如 
结束 引号 ) 的 命令 ， 束 会 看 到 类 似 行为 。 如 果 总 处 于 扩展 的 提示 模式 ， 不 知道 接 下 来 会 发 生 什 么 ， 按 Ctrl+C 键 总 是 
可 以 退出 扩展 的 提示 模式 。 此 时 ， 前 面 费心 构建 的 任何 命令 都 不 会 执行 ， 而 是 返回 到 正常 的 命令 提示 和 付 。 


2.9 ”使 用 文件 输入 和 输出 操作 


有 时 ， 希 望 将 命令 或 脚本 的 结果 保存 到 文件 中 。 为 此 可 使 用 重 定 同 操作 从 ， 或 大 于 号 (>)。 下 面 是 一 个 例子 : 


Get—-Process|Sort-Object ~-Property WorkingSet ~Descending | Select—Object -Property Workingset, 
ProcessName -First 5 > "c:\Top 5 Processes Consuming RAM.txt" 


这 种 快速 方法 可 获取 控制 台中 显示 的 内 容 ， 并 将 其 直接 转 储 到 一 个 文件 中 。 唯 一 的 问题 是 这 只 是 盲目 地 转 储 信 
。 如 果 想 要 更 好 地 的 控制 ， 应 该 使 用 Out-File 命令 。 下 面 是 语法 : 


Out—File [-FilePath] <String> [[-Encoding] {unknown | string | unicode | 


el 


bigendianunicode | utf8 | utfi/ | utf32 | ascii | default | oem}| [-Append|] [-Confirml| 
[-Force] [-InputoObject <PSObject>| [-NoClobber] [~-NoNewline] [~-WhatIf] [~-Width 
<Int32>] [<CommonParametersy>| 


下 面 的 示例 使 用 Out-File 命令 的 参数 ， 确 保 不 覆 新 现 有 文件 : 


Get—-Process|Sort-Object ~-Property WorkingSet ~Descending | Select—-Object -Property Workingset, 
ProcessName -First 5 |Out-File "“"c:\Top 5 Processes Consuming RAM.txt"™" ~NoClobber 


默认 情况 下 ，Out-File 为 文本 文件 使 用 的 格式 是 Unicode。 为 了 避免 出 现 问题 ， 可 添加 -Encoding ASCII 参数 。 
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可 能 还 希望 避免 使 用 换行 侍 。 这 将 把 所 有 内 容 放 在 一 行 上 。 如 果 不 想 使 用 行 分 隔 的 值 列表 ， 就 可 以 使 用 这 种 方法 。 
可 以 用 -NoNewline 参数 禁止 插入 新 行 。 

还 需要 注意 输出 的 宽度 。 默 认 情 况 下 ， 输 出 根据 主机 的 特征 来 截断 。PowerShell 控制 台 的 默认 值 是 80 个 字符 。 
请 注意 ， 行 之 外 的 任何 字符 都 会 被 截断 ， 而 不 会 换行 显示 。 如 果 每 行 超过 80 个 字符 ， 则 需要 使 用 -Width 参数 ， 否 
则 每 行 80 个 字符 之 后 的 任何 字符 都 将 丢失 。 


2.9.1 将 对 象 转换 为 不 同 的 格式 

PowerShell 管道 对 象 可 以 有 几 种 不 同 格式 。 如 果 试 图 将 这 些 对 象 保 存 到 文件 中 ， 束 可 能 需要 从 对 象 的 本 机 格式 
进行 转换 。PowerShell 使 用 两 个 动词 进行 对 象 转换 ， 即 ConvertTo 和 Export。 如 果 执 行 Get-Command ConvertTo-*， 
会 得 到 6 个 cmdlet 和 1 个 函数 。 命 令 和 输出 如 下 所 示 : 


PS C:\Users\Administrator> Get—-Command ConvertTo—* 


CommandType Name Version Source 

Function ConvertTo—-HgsKeyProtector 1.0.0.0 HgsClient 
Cmdlet ConvertTo-Csv 3.1.0.0 Microsoft.PowerShell .Utility 
Cmdlet ConvertTo—Html 3.1.0.0 Microsoft.PowerShell .Utility 
Cmdlet ConvertTo—-Json 3.1.0.0 Microsoft.PowerShell .Utility 
Cmdlet ConvertTo-SecureSstring 3.0.0.0 Microsoft.PowerShell.Security 
Cmdlet ConvertTo—TpmOwnerAuth 2.0.0.0 TrustedPlatformModule 
Cmdlet ConvertTo—Xml 3.1.0.0 Microsoft.PowerShell .Utility 


我 们 主要 关注 的 是 如 何 将 管道 内 容 转换 为 CSV、HTIML 或 XML。 


2.9.2 使 用 ConvertTo-Csv 


ConvertTo-Csv cmdlet 非常 基本 。 下 面 是 语法 ; 

ConveTrtTo-Csv [-InputObject] <psobject> [[-Delimiter] <char>] [-NoTypelInformation ] 

[<CommonpParametersy>| 

参数 -InputObject 的 值 是 PowerShell 官 道 的 内 容 。 它 在 语法 中 引用 为 <psobject>。 这 个 管道 内 的 对 和 象 可 用 旧 的 $_ 
或 较 新 的 SPSItem 来 标识 。 

许多 管理 员 仍 然 通过 旧 的 $ 来 使 用 管道 中 的 对 象 ， 但 $PSItem 是 当前 的 标识 符 。 两 种 引用 都 可 以 在 表达 式 中 工 
作 ， 但 可 能 在 脚本 、 帮 助 文件 和 About 文档 中 看 到 其 中 一 种 引用 ， 因 此 必须 熟 炙 这 两 种 引用 。 建 议 使 用 $PSTItem,， 
但 没有 废弃 $ 的 任何 计划 。 

-Delimiter 参数 允许 更 改 标识 各 种 值 的 字符 。 如果 不 希望 用 逗号 分 隔 值 , 而 希望 使 用 分 号 , 则 可 以 使 用 -Delimiter 
"" 参 数 。 
ConvertTo-Csv 命令 获取 对 象 ， 并 将 其 转换 为 逗 己 分 隔 的 值 。 每 个 对 象 转 换 为 字符 串 ， 这 些 字符 串 将 符 换 党 道 的 
内 容 。 这 个 ConvertTo-Csv 命令 不 会 同 控 制 台 提供 任何 输出 。 将 管道 的 内 容 转 换 为 CSV 格式 ， 并 将 管道 的 当前 内 容 
蔡 换 为 得 到 的 CSV 字符 串 。 每 个 对 象 都 有 一 个 字符 串 。 

放 在 管道 中 的 第 一 项 是 类 型 信息 。 访 信 息 可 能 没有 放 在 管道 中 或 在 输出 文本 文件 中 。 可 使 用 -NoTypeInformation 
参数 来 茶 止 它 。 下 面 是 市 有 类 型 信息 的 输出 示例 : 

Get—EventLog System | Select-—-Object EventId, EntryType -First 3 |ConvertTo-Csv |Out-File 

"C:\Events.txt" 


此 命令 在 文本 文件 中 提供 以 下 输出 : 


#TYPE Selected.System.Diagnostics.EventLogEntry 
"EventID", "EntryType™" 

TO40™", "Information™ 

TOA40™, "Information™ 

TO40™", "Information™ 


如 果 想 要 将 这 个 CSV 导入 Excel 之 类 的 程序 中 ， 就 需要 清除 它 。 在 删除 类 型 信息 时 请 注意 差别 。 
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Get—-EventLog System | Select-Object EventlId, EntryType -First 3 |ConvertTo-Csv ~NoTypelnformation 
[Out—File "CC:\Events.txt" 


"EventID", "EntryType” 
TOA40™, "Information™ 
TIO40™", "Information™ 
TIO40™", "Information™ 


这 个 结果 更 容易 操作 和 导入 。 记 住 ，ConvertTo-Csv 将 管道 对 象 集合 的 内 容 更 改 为 字符 串 集 合 。 所 有 方法 和 操 
作 都 被 丢 茎 。 管 着 中 第 一 个 对 象 的 属性 用 于 定义 字段 标题 ， 后 面 是 其 值 。 如 有 条 管道 中 的 后 续 对 象 没 有 使 用 第 一 个 对 
象 定 义 的 属性 ， 或 者 定义 的 属性 没有 值 ， 则 其 值 束 设置 为 空 ， 空 值 用 两 个 逗号 表示 。 如 果 当 着 中 有 混合 对 象 ， 而 后 
续 对 象 的 其 他 属性 没有 包含 在 第 一 个 对 象 中 ， 束 会 丢弃 这 些 附加 属性 。 


2.9.3 ”使 用 Export-Csv 
Export-Csv 创建 管道 中 对 象 的 CSV 文件 。 下 面 是 语法 : 


Export—Csv -InputObject <PSsObject> [[-Path| <Sstring>| [-LiteralPath <String>| 
[-Force] [-NoClobber] [-Encoding <String>|] |[-Append|] [-UseCulturel 
[-NoTypelInformation] [-WhatIf] [-Confirm|] [<CommonParameters»>l] 


这 些 参 数 与 前 面 Out-File cmdlet 中 的 类 似 。 重 要 的 是 , 不 需要 在 转换 之 前 格式 化 输出 。 如 果 这 样 做 ,Export-Csv 
cmdlet 将 把 格式 化 属性 转换 为 csv 文件 ， 而 不 是 对 象 属性 。 使 用 Select - Object cmdlet 可 选择 对 和 象 的 属性 ， 因 为 选择 
Select - Object 特定 属性 时 ， 其 他 所 有 属性 都 会 被 删除 。 


2.9.4 使 用 ConvertTo-Html 
ConvertTo-Html cmdlet 将 管道 中 的 PowerShell 对 象 转换 为 HTML 页 面 或 HTML 片段。 正面 是 语法 ; 


ConvertTo—Html [-InPutobJect <PSObjJect»>| [[-Property|] <object[]>] [|[-Bodyl] 
<String[|]>|] [|[-Head|] <Strlnglj>] [[-Title] <String>| [-As <String>| |[-CssUri 
<Uri>|] [-PostContent <String[l]>|] [ -PreContent <String[]>] [<CommonParameters>| 


Get—-EventLog System | Select-Object EventId, EntryType -First 3 |ConvertTo-Html 
[IOut—File "“C:\Events.htm" 


输出 如 下 : 


<IDOCTYPE html PUBLIC ™-//W3C//DTD XHTML 1.0 Strict//EN" 
"http://Wwww.w3.o0rg/TR/xhtmll /DTD/xhtmll—-strict.dtd"> 
<html xmlns="http://www.w3.0rg/1999/xhtml"> 

<head> 

<title>HTML TABLE</title> 

</head><body> 

<table> 

<COlgroup><col/><col/></colgroup> 
<tr><th>EventID</th><th>EntryType</th></tr> 
<tr><td>7040</td><td>Information</td></tr> 
<tr><td>7040</td><td>Information</td></tr> 
<tr><td>7040</td><td>Information</td></tr> 

</table> 

</body></html> 


输出 如 图 2.12 所 示 。 


,| S| c\Events.htm D0 HIMLTABLE 


EventID EntryType 


1040 Information 
717040 Informatiom 
1040 Informatiom 


2.12 默认 表格 式 的 ConvertTo-Html 输出 
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注意 ， 可 使 用 -Head、-Body 和 -Title 参数 将 这 些 默 认 条 目 蔡 换 为 可 选择 的 目 定 义 值 。 参 数 -As 允许 在 表 和 列表 
之 则 选择 。 表 是 默认 值 ， 如 果 省 略 了 -As 参数 ， 融 使 用 表 。 图 2.13 显示 了 添加 -As List 参数 的 相同 输出 。 


就 
、 we S| C\Events.htm Decl 龟 HTMLTABLE 


EventID: 7040 
EntryType: Information 


EventID: 7040 
| EntryType: Information 


EventID: 7040 
EntryType: Information 


2.13” 带 有 -As List 的 ConvertTo-Html 


还 可 使 用 -Fragment 参数 ， 它 只 生成 一 个 HTML 表 。 其 他 所 有 HTML 元 系 ， 如 <Head>、<Body> 等 都 被 丢弃。 
导出 到 HTML 格式 的 文件 没有 等 效 的 cmdlet。 可 执行 重 定 同 ， 如 下 所 示 : 


Get-EventLog System | Select-Object EventId, EntryType -First 3 |ConvertTo-Html > 
c:\TopSystemLogs.html 


2.9.5 使 用 ConvertTo-Xml 


ConvertTo-Xml 获取 PowerShell 管道 中 的 对 象 ， 并 将 其 转换 为 对 象 的 XML 表示 。 当 管道 中 有 多 个 对 象 时 ， 
ConvertTo-Xml 将 创建 一 个 包含 所 有 对 象 的 XML 文档 。 这 个 cmdlet 获取 创建 的 XML， 并 符 换 管道 中 当前 的 内 容 。 
下 面 是 语法 : 


ConvertTo—Xml [-Depth <Int32>|] [-Inputobject] <PSObject> [-NoTypelInformation| [|-As <String>| 
[<CommonParametersy>| 


对 象 的 属性 包含 其 他 对 象 时 ，-Depth 控制 者 转换 级 别 。 反 过 来 ， 较 低 对 象 的 属性 可 能 包含 更 多 对 象 。 当 对 象 包 
含 其 他 对 象 时 ， 需 要 确保 让 PowerShell 知道 希望 的 转换 深度 ; 否则 ， 将 丢失 这 些 被 包含 对 象 的 XML 表示 。 在 
Types.pslxml 文件 中 可 为 对 象 类 型 重 写 此 设置 。 

Types.pslxml 文件 允许 同 PowerShell 中 的 对 象 类 型 添加 额外 成 员 。 这 允许 同 对 象 添 加 由 附加 属性 和 方法 组 成 的 
扩展 类 型 数据 。Types.pslxml 文件 位 于 PowerShell 安装 目录 ， 在 指定 PowerShell 会 话 时 就 会 加 载 该 文件 。 将 模块 导 
入 会 话 时 ， 还 会 加 载 Types.pslxml 文件 。 还 可 以 使 用 Update- TypeData cmdlet 临时 添加 扩展 类 型 数据 。 它 不 会 保存 
到 文件 中 ， 在 会 话 关 财 时 会 被 丢弃 。 

-NoTypeInformation 从 对 象 节点 中 删除 类 型 属性 。 前 面 已 经 在 ConvertTo-Csv cmdlet 中 看 到 了 这 个 参数 的 结果 。 

-As 参数 指示 PowerShell 转换 为 三 种 格式 之 一 。-As String 将 对 象 转换 为 单个 字符 串 。-As Stream 将 管道 中 的 对 
象 转换 为 字符 串 数 组 。-As Document 返回 一 个 XMLDocument 对 象 。-As Document 是 默认 的 ， 在 cmdlet 没有 指定 
任何 -As 参数 的 情况 下 使 用 。 

记 住 ，ConvertTo-Xml 转换 党 道中 的 对 象 ， 然 后 用 转换 后 的 对 象 普 换 管 道 。cmdlet 不 会 将 任何 内 容 保存 到 文件 
中 。 保 存 结果 需要 额外 的 cmdlet 或 重 定 向 。 下 面 是 指定 -As Document 参数 的 示例 代码 。 


Get- 下 ventLog System | Select-Object EventId, EntryType ~First 3 |ConveIrtTo-Xml]l -As 
Document |Out—File "“C:\Events.htm" 


输出 如 下 : 


xml] Objects 


version="1] .0™ encoding="utf-8" Objects 
在 本 例 中 ,输入 对 象 似乎 不 能 很 好 地 转换 为 标准 XML 文档 。 下 面 是 带 有 -As String 参数 的 输出 ， 该 参数 将 整个 
管道 加 载 到 单个 字符 串 中 。 
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<2xml VerTSslon= "1.0 ”encCcoqdlng=”Ut 鞋 一 名”2> 
<Objects> 
<Object Type="System.Management.Automation.PSCustomObject"> 
<Property Name="EventID™" Type="System.Int32">7036</Property> 
<Property Name="EntryType™" Type="Sy3stem.Diagnostics.EventLogEntryType">Inftormation 
</Property> 
</Object> 
<Object Type="System.Management.Automation.PSCustomObject"»> 
<Property Name="EventID™" Type="System.Int32">71036</Property> 
<Property Name="EntryType™" Type="System.Diagnostics.EventLogEntryType">Information 
</Property> 
</Object> 
<Object Type="System.Management.Automation.PSCustomObject"> 
<Property Name="EventID™" Type="System.Int32">7036</Property> 
<Property Name="EntryType™" Type="System.Diagnostics.EventLogEntryType">Information 
</Property> 
</Object> 
</Objects> 


下 面 是 带 有 -As Stream 参数 的 输出 ， 它 将 每 个 对 象 作为 单独 的 字符 串 加 载 ， 存 储 为 数组 : 


<23xXm version="1 .0" encoding="utf-—8"?> 
<Objects> 
<Object Type="System.Management .Automation.PSCustomObject"> 
<Property Name="EventID™" Type="System.Int32"™>71036</Property> 
<Property Name="EntryType™ Type="System.Diagnostics.EventLogEntryType">Information 
</Property> 
</Object> 
<Object Type="System.Management .Automation.PSCustomObject"> 
<Property Name="EventID™" Type="System.Int32"™>7036</Property> 
<Property Name="EntryType™ Type="System.Diagnostics.EventLogEntryType">Information 
</Property> 
</Object> 
<Object Type="System.Management .Automation.PSCustomObject"> 
<Property Name="EventID™" Type="System.Int32"™>71036</Property> 
<Property Name="EntryType™" Type="System.Diagnostics.EventLogEntryType">Information </Property> 
</Object> 
</Objects> 


2.9.6 ”使 用 Export-Clixml 


Export-Clixml 与 ConvertTo-Xml 非常 相似 ; 但 就 像 Export-Csv 一 样 ， 将 输出 保存 到 一 个 文件 中 ， 而 不 只 是 蔡 换 
管道 的 内 容 。 下 面 是 语法 : 


Export—Clixml [-Depth <Int32>] [-Path| <String> ~-Inputobject <PSObject> [-Forcel|] [-NoClobberl| 
[-Encoding <String>|] [-WwhatIf] [-Confirm| [<CommonParameters>| 


2.9.7 用 Export-Clixml 加 密 导 出 的 凭证 对 象 


Export-Clixml 的 一 个 常见 用 法 是 以 加 密 格式 导出 凭证 。 这 人 允许 在 脚本 中 存储 使 用 的 凭证 ,而 不 必 在 脚本 主体 内 
或 省 道中 公开 明文 形式 的 凭证 。 

要 获得 凭证 ,可 使 用 Get-Credential cmdlet 弹出 一 个 对 话 框 ， 并 将 用 户 名 和 密码 放 入 一 个 变量 中 。Get-Credential 
可 使 用 一 个 通用 凭证 对 话 框 、 一 个 市 有 消 恩 的 目 定义 对 话 框 , 或 可 通过 命令 行 提示 有 用户。 命令 行 提示 需要 注册 表 项 。 

下 面 是 允许 命令 行 提示 输入 凭证 所 需 的 代码 : 


Set-ItemProperty "HKLM: \SOFTWARE\Microsoft\PowerShell\l1\ShellIds™" -Name "ConsolePrompting™" 
—Value S$True 


下 面 是 语法 : 
Get—Credential [~-Credentiall| <PSCredential> [<CommonParametersy>| 


最 简单 的 形式 是 获取 赁 证， 并 将 其 存储 到 一 个 变量 中 ， 如 下 所 示 : 


第 2 章 PowerShell 
sCredentialstorageVariable = Get-Credential -Credential "Contoso\ServiceAcct01" 


如 图 2.14 所 示 ， 这 将 提示 用 户 输入 用 户 名 和 密码 ， 然 后 创建 一 个 PSCredential 对 象 。 由 于 使 用 了 -Credential 参 
数 ， 因 此 已 经 填充 了 用 户 名 字段 ， 但 它 仍然 是 可 编辑 的 。 如 果 省 略 -Credential 参数 ， 所 有 字段 都 为 空 。 


Windows Powershell credential request ? 


图 2.14 获取 和 凭证 
还 可 创建 带 有 自 定义 消息 的 对 话 框 。 这 称 为 MessageSet。 这 是 通过 以 下 代码 完成 的 : 


scredentialStorageVariable = Get-Credential -Messagde "We need your credentials to connect to 
the remote server" 


这 会 显示 自 定 义 消息 ， 如 图 2.15 所 示 。 


图 2.15 显示 自 定义 消息 


然后 将 PSCredential 对 象 存储 在 已 识别 的 变量 中 
是 已 创建 的 变量 名 。 可 随意 调用 变量 。 


。 在 本 例 中 ， 将 结果 存储 在 $credentialStorageVariable 中 。 这 只 


PSCredential 对 象 的 成 员 只 包含 两 个 属性 : Password 和 Username。 简 单 地 在 单独 一 行 中 输入 变 
者 的 内 容 : 


量 ， 可 以 查看 两 
scredentialSsStorageVariable 
UserName Password 


Sy3tem.Security.SecureString 


注意 ， 用 户 名 以 明文 形式 存储 在 变量 中 ， 而 密码 以 安全 字符 串 的 形式 人 存储。 访问 这 些 值 的 方法 是 指定 变量 ， 然 


后 附加 想 要 的 成 员 的 名 称 ， 以 句点 开头 。 如 果 要 查看 变量 的 Username 属性 值 ， 可 声明 变量 ， 并 附加 属性 。 下 面 的 
代码 查看 凭证 变量 的 UserName 和 Password 属性 的 内 容 : 


Contoso\ServiceAcct01 


scredentialSstorageVariable.UserName 
Contoso\ServiceAcct01 
scredentialstorageVariable.Password 


System.Security.SecureSsString 
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2.9.8 将 凭证 保存 到 XML 文件 中 
一 旦 将 凭证 存储 在 变量 中 ， 就 可 将 凭证 导出 到 XML 文件 中 。 下 面 是 显示 这 两 种 操作 的 代码 ; 


scredentialSsStorageVariable = Get-Credential 
scredentialstorageVariable | Export-Clixml c:\OurCredentialFile 
注意 ， 可 以 用 另 一 个 变量 蔡 换 路 径 ， 使 其 更 模块 化 。 这 个 命令 使 用 Windows Data Protection API 加 密 对 象 。 
如 果 将 得 到 的 文件 加 载 到 文本 编辑 器 中 ， 将 得 到 ， 
<Ob]js Version="1.1.0.1"” xmlns="http://schemas.microsoft.com/powershell/2004/04"> 
<Ob] RefId="0"™"> 
<TN RefIld="0"> 
<T>System.Management .Automation.PSCredential</T> 
<T>System.Object</T> 
</TN> 
<ToSstring>System.Management .Automation.PSCredential</ToSsString> 
<Props> 
<S N="UserName">Contoso\ServiceAcct01l</Ss> 
<SS N="Password">01000000d08c9qdqdf0115d1ili8c7a00c04fc297eb010000000cf4a23d 
fab49a4c85b4026968824dc300000000020000000000106600000001000020000000285a7b2ff 
b2022pbp6é66f3a89d321fccl3535f7fa75abff48479265484b9aae9b34000000000e80000000020000 
20000000e802cd61458770bad5213dqe0bdc0944722abf28a6c86d7d81c8bb9ba96112860630000000 
594c5el54bdec29bl51d55c654de32ddfc222a3cd0a?20fbedb6485e440bd516c3cdc225b722636 
fldO02edb4fe027227f4000000025bl01384a5ead762f526d315f71bl291c54368f6ffffaee4a6027 
aalle9529bdf8bb26d498a7l5aec9e56bdb5c7ff497e3ca27383d0894169220c5c8e8cb55a</38S> 
</Props> 
</Ob]> 
</Ob]js> 


用 户 名 仍 使 用 明文 显示 ， 但 密码 已 加 密 。 
要 将 凭证 导入 脚本 ， 只 需要 使 用 Import-Clixml 命令 加 载 带 有 对 象 的 变量 ， 如 下 所 示 : 
snewCredentialVvariable = Import-Clixml c:\‘OurCredentialFile 


Password 属性 仍然 是 加 窗 的 ， 但 凭证 现在 可 在 整个 脚本 中 使 用 。 


2.9.9 将 数据 导入 PowerShell 


从 文件 或 其 他 外 部 存储 中 导入 数据 时 ， 将 这 种 格式 的 数据 转换 回 对 象 。 然 后 可 将 这 些 对 象 加 载 到 管道 中 ， 并 传 
递 给 其 他 命令 。PowerShell 可 理解 许多 格式 ， 但 并 不 是 所 有 格式 都 同样 容易 导入 。 


为 什么 不 使 用 CSV 文件 呢 ? 

许多 管理 员 喜 欢 CSV 文件 。 此 类 文件 很 容易 创建 ， 第 一 行 指定 属性 名 是 什么 ， 其 余 的 只 是 用 过 号 或 其 他 分 隔 
符 分 隔 的 数据 块 。 使 用 CSV 进行 存储 的 一 个 问题 是 ， 失 去 了 层次 关系 。 因 此 ， 在 使 用 复杂 的 数据 结构 时 ， 不 支持 
存储 和 检索 它们 。 


导入 数据 和 读 取 数据 是 有 区 别 的 。 导 入 数据 就 像 将 CSV 文件 读 入 电子 表格 ， 如 Microsoft Excel。 使 用 Excel， 
将 拥有 列 标题 ， 通 常 是 文件 的 第 一 行 。 这 将 使 PowerShell 具有 Property to Value 信息 。 标 题 列 出 了 这 些 对 象 使 用 的 
所 有 属性 。 在 导入 文件 的 其 余部 分 时 ，CSV 值 将 添加 到 适当 的 属性 中 。 这 便于 将 具有 完整 参数 的 对 象 传递 给 其 他 命 
令 ， 进 行进 一 步 处 理 。 


如 条 使 用 Get-Content cmdlet， 束 不 是 寻 入 文件 ， 而 是 读 取 它 。 没 有 定义 任何 属性 ， 值 都 加 载 到 一 起 。 这 类 似 于 
使 用 基本 文本 编辑 器 (如 记事 本 ) 简 音 地 读 取 文件 。 没 有 采用 任何 方法 来 匹配 适当 的 属性 和 值 。 读 取 的 数据 可 能 没有 


预期 的 结构 ， 需 要 确保 脚本 获得 它 接受 的 信息 类 型 。 
下 和 面 是 Import-Csv 命令 的 语法 : 
Import-—-Csv [|[-Path|] <Sstring[]>] [|[-Delimiter|] <Char>] [-Encoding {Unicode | 


UTF/ | UTF8 | ASCII | UTF32 | BigEndianUnicode | Default | OEM}|] [~-Header <String[|]>|] 
[-LiteralPath <String[]>] [<CommonParameters>| 


使 用 Import-Csv 时 ， 它 将 首先 尝试 读 取 输 入 文件 的 标题 ， 以 确定 它 要 导入 的 对 象 的 属性 。 如 果 没 有 标题 ， 或 者 
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它 是 空 的 ，Import-Csv 将 插入 一 个 默认 的 标题 行 名 称 ， 并 显示 一 条 消息 。 在 PowerShell 版 本 3 之前， 脚本 会 失败 。 


2.10 “处理 管道 数据 


PowerShell 管道 可 容纳 具有 各 种 成 员 的 许多 对 象 。 但 用 户 可 能 不 希望 将 所 有 对 象 加 载 到 管道 中 。 如 果 在 脚本 
中 有 一 些 复杂 的 排序 或 处 理 ， 这 一 点 尤其 正确 。 需 要 消除 那些 不 需要 的 对 象 。 这 种 有 选择 地 删除 对 象 的 过 程 称 为 


对 所 有 对 象 排序 

对 所 有 对 象 排序 可 能 效率 不 高 ， 尤 其 在 打算 委 弃 一 堆 对 象 时 效率 就 更 低 。 这 就 像 把 糖果 按 颜 色 分 类 ， 然 后 把 它 
们 混在 一 起 吃 。 它 实际 上 并 没有 完成 任何 操作 。 让 脚本 对 要 丢弃 的 对 象 进行 排序 会 浪费 资源 ， 增 加 复杂 性 ， 不 是 最 
佳 实践 。 


要 删除 一 个 对 象 ， 通 沼 会 将 其 与 某 些 条 件 进 行 比 较 。 如 果 对 象 符合 条 件 ， 它 就 计算 为 $True。 计 算 为 STrue 的 对 
象 允 许 保留 在 省 过 中 。 如 果 对 象 与 条 件 不 匹配 ， 该 对 象 就 计算 为 84False， 并 被 删除 。 


2.10.1 使 用 比较 操作 符 


比较 操作 符 有 多 种 形式 。 它 们 可 以 区 分 大 小 写 或 不 区 分 大 小 写 。 一 些 比 较 操 作 符 允许 使 用 通配符 。 一 些 比较 操 
作 符 查找 的 不 仅 是 存储 在 对 象 属性 中 的 字符 串 值 。 有 些 会 使 用 正则 表达 式 。 在 编写 脚本 时 测试 比较 操作 符 ， 可 以 确 
保 得 到 了 期 望 的 值 。 如 果 使 用 标量 值 ( 换 句 话说 就 是 单个 值 ), 这 些 比 较 操作 符 将 返回 $True 或 $False 值 .$True 或 $False 
称 为 布尔 值 。 看 看 下 面 的 代码 : 

Tr 

-ed 意味 看 相等 。 这 将 计算 为 STrue。 一 对 一 比较 只 返回 布尔 值 。 所 比较 的 两 个 值 都 有 名 称 。 在 本 例 中 ， 右 边 的 
是 测试 值 ， 即 正在 测试 的 数据 。 左 值 为 参考 值 。 这 两 个 值 也 称 为 操作 数 。 

如 果 要 比较 多 个 值 ，PowerShell 将 返回 任何 匹配 的 值 ， 而 不 是 返回 $True 或 $False。 看 看 下 面 的 代码 及 其 结果 : 

10,8, 32,11,99,8,11,888, i86 -ed 8 


8 
8 


这 是 将 一 组 数字 与 数字 8 进行 比较 。 注 意 ， 没 有 一 个 值 是 用 引号 插 起 来 的 。 如 果 值 放 在 引号 中 ， 它 们 就 不 是 数 
字 ， 而 是 字符 串 。 稍 后 将 讨论 数据 类 型 。 
因为 必须 精确 匹配 值 ， 所 以 会 返回 两 个 结果 。 如 果 不 匹配 任何 值 ， 此 操作 将 不 会 返回 任何 内 容 。 用 引号 把 值 括 
起 来 ， 然 后 把 它 计 算 成 一 串 字 符 ， 也 就 是 字符 串 : 
" HB" "HH " "8 899” -eq "BS" 
这 不 会 返回 任何 值 ， 因 为 没有 值 完全 匹配 。 将 值 括 起 来 使 它们 成 为 文本 字符 串 。 空 格 是 一 个 字符 , 束 像 8 一 样 。 
把 8 与 SPACE8 和 8SPACE 比较 ， 它 们 显然 不 匹配 。 稍 后 介绍 一 个 可 使 用 通配符 的 比较 操作 符 。 
这 种 比较 是 一 种 非常 有 用 的 故障 排除 技术 ， 它 将 期 望 值 与 变量 或 特定 文本 的 实际 内 容 进 行 比 较 。PowerShell 人 允 
许 直 接 将 大 多 数 比 较 输入 控制 台 , 以 测试 其 逻辑 。 这 在 构建 脚本 时 非常 有 用 , 可 确保 评估 正确 的 值 并 获得 预期 结果 。 
TR 
-eq: 表示 相等 。10 -eq 10 的 结果 是 真 。 
-me; 表示 不 相等 。11 -ne 10 的 结果 是 真 。 
-gt: 表示 大 于 。11 -gt 10 的 结果 是 真 。 
-lt; 表示 小 于 。11 -lt 10 的 结果 是 假 。 
-le: 表示 小 于 或 等 于 。10 -le 10 的 结果 是 真 ，2 -le 10 的 结果 也 是 真 。 
_ge: 表示 大 于 或 等 于 。11 -ge 10 的 结果 是 真 ，200 -ge 10 的 结果 也 是 真 。 
所 有 这 些 操作 符 都 不 区 分 大 小 写 。"A" -eq "a" 的 结果 是 真 。 如 果 和 希望 比较 操作 区 分 大 小 写 ， 就 应 该 在 操作 符 前 
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面 加 上 c; 换 句 话说 ，-ed 变 成 -ceq。 如 采 要 显 式 不 区 分 大 小 写 ， 请 在 操作 符 前 面 加 上 i; 换 句 话说 ，-ed 变 成 -ieq。 
一 定 要 理解 ， 这 些 比 较 都 需要 精确 的 值 。 这 些 比 较 操 作 符 都 不 允许 使 用 任何 通配符 。 


2.10.2 ”使 用 通配符 和 -like 操作 符 


有 时 允许 匹配 各 种 值 。 这 里 可 以 使 用 通配符 。 通 配 符 只 能 用 于 -like 或 -clike 操作 符 。 这 类 似 于 -eq 操作 符 ， 但 是 
可 以 使 用 通配符 。 通 配 符 * 表 示 任 意 数量 的 字符 ，? 表 示 一 个 字符 : 

RN 

i 

"ABA" 


11Ke "*™ 13 True. 

Jike "*a™” 153 True. 

Jike "A?A™ 1s3 True. 

Jike "A?A™” 13 also True. 


考虑 下 面 的 代码 : 

"Wyoming" -like mWrom2ngn 

这 个 比较 的 详细 分 析 如 下 : 第 一 个 值 是 否 在 第 一 个 位 置 有 一 个 W? 在 W 和 oo 之 间 有 任意 数量 的 字符 ?0o 的 后 
面 是 m 吗 ?mm 后面 的 下 一 个 字符 是 什么 并 不 重要 , 但 必须 有 一 个 字符 , 字符 串 后 面 的 两 个 字符 必须 是 n 和 g。 而 且 ， 
在 第 一 个 值 中 g 之 后 不 能 有 任何 东西 。 这 个 比较 计算 为 Tme。 操 作 符 -clike 也 执行 相同 的 操作 ， 但 区 分 大 小 写 。 

"Wadfakdsfbasd123sdfasjomXng" -clike "W*om?ng" 


这 个 比较 操作 也 计算 为 True。 


比较 字符 串 ， 确 定 哪 个 更 大 
问题 3 引出 了 一 个 有 趣 场景 。 当 使 用 -gt 和 -lt 计算 两 个 字符 串 时 ， 值 是 按 字母 顺序 处 理 的 。 意 思 是 a 比 b 小。 
用 -clt 对 字符 囊 求 值 ， 表 示 小 写字 母 “ 小 于 ”大 写字 母 。 例 如 ,，“a” 小 于 “A”， 


注意 ,如果 笠 试 计算 1 -gt"a", 就 将 得 到 一 个 错误 , 因为 没有 引号 的 1 被 解释 为 类 型 System.Int32 的 值 ， 其 中 "a" 
是 一 个 字 从 串 。 因 为 要 比较 字面 量 值 ， 第 一 个 值 的 类 型 将 决定 第 二 个 值 的 预期 类 型 ， 有 些 类 型 与 其 他 类 型 不 兼容 。 

如 果 和 尝试 "1"-gt"a"， 就 是 在 比较 字符 "1" 和 字 付 "a"。 在 PowerShell 中 ， 字 符 "1" 小 于 "a"。 如 果 和 党 试 "a"-gt 1， 会 得 
到 Trme， 因 为 “a” 值 是 字符 串 类 型 ， 所 以 PowerShell 将 假设 1 也 是 字符 串 。 

如 果 尝 试 1 -gt"a"， 就 将 得 到 一 个 错误 。 这 是 因为 1 是 整数 ， 而 不 是 字符 串 。 由 于 要 比较 的 第 一 项 决定 了 其 后 
项 的 类 型 ，PowerShell 和 尝试 将 "a" 转 换 为 整数 ， 但 失败 了 。 

类 型 不 匹配 是 PowerShell 中 常见 的 错误 。 如 果 值 在 变量 中 ，PowerShell 可 以 进行 转换 。 显 然 ,，"ABCE" 的 值 水 
远 不 会 目 动 转换 为 32 位 整数 。 最 好 根据 已 知 值 来 测试 比较 ， 以 确保 拥有 正确 类 型 ， 操 作 符 也 会 按 预期 那样 执行 。 


强制 类 型 

在 值 或 变量 前 面 加 上 带 有 方 括号 的 类 型 可 以 强制 执行 类 型 的 转换 ， 这 就 是 所 谓 的 强制 数据 类 型 转换 。 即 使 用 户 
过 于 富有 创造 性 ， 这 种 技术 也 有 助 于 确保 用 户 输入 的 数据 匹配 需要 的 类 型 。 例 如 ， 如 果 和 希望 将 用 户 加 载 到 变量 中 的 
所 有 输入 都 视 为 文本 ， 可 使 用 以 下 方法 : 

[String] $somethingTheUserInput 


这 样 ， 如 果 用 户 输入 12345， 它 就 转换 为 字符 串 "12345"， 而 不 是 数值 12345。 
2.10.3 ”探索 公共 数据 类 型 


PowerShell 中 有 许多 数据 类 型 。 其 中 有 些 是 很 模糊 的 。 你 还 可 创建 目 己 的 数据 类 型 。 以 下 是 最 弟 用 的 数据 类 型 : 
[string]: 固定 长 度 的 Unicode 字符 的 字符 串 

(char): 16 位 Unicode 字符 。 

[byte]: 8 位 无 符号 字符 。 

[ind]: 32 位 市 符号 整数 。 

[org]: 64 位 带 符号 整数 。 

[aecimal]: 128 位 的 十 进 制 值 。 
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[single]: 单 精度 32 位 浮 点 数 。 

[double]: 双 精 度 64 位 浮 点 数 。 

[DateTime]: 包含 日 期 和 时 间 。 注 意 格 式 。 
[xm1]: XML 对 象 。 

[array]: 值 的 数组 ， 就 像 电子 表 格 的 行 和 列 。 
[hashtable]: 哈 希 表 对 象 。 

[void]: 丢弃 值 。 

考虑 以 下 代码 : 

[string] $mystringVar = "123.456" 

这 给 变量 $myStringVar 加 载 字符 123.456。 记 住 这 只 是 一 些 字 符 ， 不 是 一 个 数字 。 对 于 以 下 命令 , 会 发 生 什 么 ? 

[string] $sMyStringVar = "123.456" 

213.45 -gt $MyStringVar 

PowerShell 查看 第 一 个 值 213.45, 并 确定 其 数据 类 型 是 [single], 因为 它 没有 被 引号 括 起 来 , 并 且 有 一 个 小 数 点 。 
当 PowerShell 到 达 第 二 个 值 时 ， 它 会 看 到 该 数据 类 型 被 转换 为 [string]; 但 是 当 查 看 这 个 值 时 ，PowerShell 意识 到 它 
可 转换 为 [single]， 因 为 它 只 包含 数字 和 小 数 点 。 因 为 213.45 大 于 123.456， 所 以 比较 结果 为 真 。 注 意 ，$myStringVar 的 
数据 类 型 仍然 是 [string]。 转 换 仅 用 于 此 比较 。 

将 [int 数 据 类 型 从 小 数 类 型 (例如 [single] 或 [string]) 转 换 为 仅 包 含 数 字 字 符 和 小 数 点 的 值 时 ， 需 要 小 心 。 
PowerShell 将 执行 Round0 操 作 。 这 将 使 数值 四 舍 五 入 。 值 123.1 将 转换 为 123。 值 123.5 将 转换 为 124。 这 可 能 得 
到 预料 不 到 的 结果 ， 而 这 些 结果 很 难 找 出 错误 并 修复 。 

如 果 只 想 从 小 数 中 截 去 小 数 点 右边 的 部 分 ， 则 需要 执行 单独 操作 ， 并 调用 系统 的 数学 函数 。 检 查 下 面 的 代码 : 


[long] S$myVar= 1234.5 
[int] $myVar 


结果 是 1235， 因 为 PowerShell 在 后 台 执 行 了 Round0 函 数 。PowerShell 没有 单独 的 数学 函数 ， 因 此 需要 调用 
[System.Math] 或 简单 的 [Math]。 因 为 执行 的 是 一 个 静态 方法 ， 所 以 在 调用 实际 函数 前 ， 需 要 用 双 冒 号 (:) 分 隔 它 。 甫 
态 表示 函数 已 经 存在 于 [System.Math] 中 ， 要 使 用 它 的 Truncate 方法 。 

下 面 是 代码 示例 : 


[long] S$myVar = 1234.5 
[Math]::Truncate ($myVar) 


返回 的 值 是 1234。 它 只 是 把 小 数 点 右边 的 所 有 数 都 去 掉 了 。 注意 ， 这 也 是 一 个 临时 操作 。$myVar 仍然 等 于 
1234.5。Truncate 方法 的 结果 仅 用 于 单个 调用 。 变 量 的 值 不 会 实际 改变 。 如 果 想 使 其 水 久 改变 ， 束 需要 直接 将 值 赋 
给 变量 ， 为 此 可 键入 字 稚 ， 或 在 男 一 个 [int] 数 据 类 型 的 变量 中 加 载 s5myVar。 也 可 以 简单 地 使 用 这 个 操作 来 加 载 男 一 

smyTruncatedValueVar = [Math]::Truncate ($myVar) 

如 果 想 获得 [System.Math] 中 其 他 静态 方法 的 列表 ， 可 使 用 以 下 代码 

[System.Math] | Get-Member -Static 


这 将 给 出 许多 数学 方法 的 列表 。 


2.10.4 ”使 用 -is 确定 数据 类 型 
如 果 要 确定 数据 类 型 ， 可 使 用 type 操作 符 is。 可 以 用 下 面 的 代码 来 验证 两 个 值 的 数据 类 型 ， 如 下 所 示 : 


[string] $mySstringVar = "123.456" 
smySstringVar -is [Stringl 


结果 是 True。 


smymysteryVar = "1234.5678" 
smyMysteryVar -is [Strind] 


OHHH 
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结果 也 是 Tme， 因 为 字符 放 在 引号 内 。 可 通过 以 下 操作 将 数据 类 型 永久 转换 为 [int]: 
smyMysteryVar = "12345.2343" 

smyMysteryVar = 12345 

smyMysteryVar -is [stringl] 

smyMysteryVar -is [int] 


第 一 个 -is 比较 的 结果 是 False， 第 二 个 比较 的 结果 是 True。$myMYysteryVar 是 一 个 字符 串 ; 但 指定 12345 时 ， 
没有 引号 或 小 数 点 ， 它 就 变 成 整数 。 执 行 下 列 代码 行 之 后 的 结果 是 什么 ? 
SImyYStIT1iIngGVar = "12345" 


smyIntVar = 98765 
smySstringVar = SMyIntVar 


smySstringVvar -is [stringl] 

结果 是 False。 将 $myStrineVar 中 的 值 蔡 换 为 $myIntVar 的 内 容 。PowerShell 知道 SmyIntvar 的 内 容 是 [int] 数 据 类 
型 。 尽 管 SmyStringVar 一 开始 是 [string]|， 但 PowerShell 将 其 转换 为 [intl 并 蔡 换 了 值 。 这 种 目 动 转换 在 有 意 为 之 时 非 
党 方便 。 如 果 不 注 意 数 据 类 型 ， 那 么 得 到 的 脚本 有 时 可 以 工作 ， 有 时 不 能 工作 。 应 该 使 用 已 知 值 进 行 测 试 ， 并 谨慎 
处 理 输入 数据 ， 尤 其 是 人 工 输入 的 数据 。 

还 可 使 用 -isnot 来 反 转 这 个 类 型 操作 符 。 注 意 ， 类 型 操作 符 -is 和 -isnot 只 返回 True 或 False。 


2.10.5 ”使 用 -match 查找 字符 串 的 部 分 
有 时 需要 确定 某 个 文本 是 否 包 合 在 字符 串 或 字 侍 串 集合 中 。 操 作 数 -match 只 能 搜索 字符 串 。 检 查 下 面 的 代码 : 
"January™” -match "Jan™ 


结果 为 True。 这 是 标量 输入 ， 这 意味 着 它 是 单个 值 ， 而 不 是 数组 或 数据 集合 的 一 部 分 。 单 一 引用 的 值 是 重要 的 部 分 。 
运行 这 段 代 码 时 ， 结 果 为 True。 因 为 和 输入 是 标量 ， 所 以 这 个 操作 还 将 填充 $Matches 目 动 变量 。 可 以 查看 $Matches 的 值 : 


sMatches 
Name Value 
DO Jan 


这 表明 Jan 确实 匹配 字符 串 中 的 内 容 。 但 如 果 想 看 看 到 压 匹 配 的 是 什么 内 容 ， 该 怎么 办 昵 ?检查 下 面 的 代码 : 
"Srv-Den01™, "DenaliRRASO04™", "DC-Hedenar-05"", "Lon-—Winlé-CA-00" —match "dEn™" 
结果 如 下 : 


SIrv—-Den0l 
DenaliRRASO04 
DC—Hedenar—05 


因为 比较 的 是 测试 值 与 多 个 引用 值 (一 个 数组 )， 所 以 不 会 得 到 True 或 False。 而 是 得 到 一 个 包含 所 有 匹配 项 的 
列表 。 这 不 会 填充 $Matches 目 动 变量 ; 如果 再 次 运行 $Matches 来 但 看 变量 的 值 ， 它 仍然 是 Jan。 

可 以 反 回 选择 ， 用 以 下 代码 找到 不 匹配 的 字符 串 : 

"Srv-Den01l™, "DenallIRRASUO4-” ， "DC-Hedenar-0”， "Lon~—Winlé6-CA—05™" -notmatch "dEn™" 

结果 如 下 : 

Lon—Winil6—CA-—05 

这 将 显示 不 匹配 的 引用 值 。 因 为 引用 值 在 数组 中 ， 所 以 不 会 得 到 True 或 False， 而 得 到 一 个 列表 ， 其 中 包含 匹 
配 的 所 有 引用 值 ， 即 使 只 匹配 一 个 引用 值 ， 也 会 得 到 一 个 列表 。 可 使 用 -match 操作 符 快速 定位 字符 串 ， 以 执行 进 一 
步 操作 。 


2.10.6 ”使 用 容器 操作 符 -contains 和 -notcontains 


容器 操作 和 从 只 返回 布尔 值 Tue 或 False。 很 多 人 会 觉得 这 与 之 前 的 -like 操作 符 类 似 。 当 使 用 -contains 和 一 个 值 
时 ， 必 须 将 引用 值 、 左 操作 数 、 右 操作 数 或 测试 值 匹配 起 来 。 
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下 面 是 一 个 例子 : 

"Mark" -contains "M" 

结果 是 False， 因 为 它 不 是 完全 匹配 的 。 下 面 的 代码 呢 ? 

"M", "Mark" -contains "mn 

结果 是 True， 因 为 其 中 一 个 引用 值 与 测试 值 完全 匹配 。 因 此 ， 这 很 像 -eq， 除 了 "M" 之 外 ，"Mark'" -eq "m" 将 返 
回 M 和 Mark， 因 为 比较 引用 值 的 数组 或 集合 时 ， 它 将 返回 所 有 匹配 的 引用 值 。 

-contains 的 优点 是 只 返回 布尔 值 True 或 False。 如 果 有 多 个 匹配 项 ， 则 不 必 执 行 其 他 处 理 。 记 住 ， 如 果 -like 操 
作 符 匹配 多 个 引用 值 ， 它 不 会 返回 True 或 False。 匹 配 多 个 引用 时 ，-like 将 返回 所 有 匹配 的 值 。 

如 果 比 较 两 个 数组 ， 会 发 生 什 么 ?考虑 下 面 的 代码 : 

"M", "Mark" -contains "m", "mar™, "M", "Mark" 

这 总 是 返回 False， 因 为 当 测 试 值 (比较 操作 右 侧 的 值 ) 是 一 个 数组 时 ，PowerShell 将 转换 为 所 谓 的 引用 相等 。 这 
意味 看 所 有 引用 值 (左边 的 操作 数 ) 的 属性 ， 必 须 匹 配 右边 操作 数 的 所 有 属性 。 看 看 下 面 的 代码 示例 : 

"M", "Mark" -contains "M","Mark" 

奇怪 的 是 ， 这 也 计算 为 False。 引 用 相等 意味 着 引用 值 的 所 有 属性 和 特性 必须 与 测试 值 的 属性 和 特性 完全 匹配 。 
看 起 来 它们 是 匹配 的 ， 但 是 由 于 引用 相等 的 奇异 性 ， 它 们 并 不 完全 相同 。 

这 是 值得 注意 的 ， 因 为 许多 管理 员 使 用 -contains 或 -notcontains 操作 符 来 尝试 比较 数组 ， 却 遇 到 了 引用 相等 的 
眶 颈 ， 无 法 找 出 代码 失败 的 原因 。 深入 了 解 引用 相等 的 所 有 细微 差别 超出 了 本 章 的 范围 ,大 多 数 管 理 员 只 使 用 -like; 
记 住 -like 并 不 总 是 返回 布尔 值 True 或 False。 而 可 能 需要 编写 额外 的 步骤 来 提供 布尔 返回 值 。 

2.10.7 ”使 用 -in 和 -notin 操作 符 

这 些 操作 符 总 是 返回 布尔 值 True 或 False。 这 次 测试 值 在 左边 ， 引 用 值 在 右边 。 这 与 -contains 的 建立 方式 完全 
相反 。 此 外 ， 如 果 测 试 值 是 一 个 数组 ，in 操作 符 将 使 用 引用 相等 。 记 住 ， 这 个 命令 中 的 测试 值 在 左边 。 考 虑 下 面 的 
代码 : 

"Im -in "Jan", "January", "J" 

结果 为 Tue， 因 为 测试 值 “J ”恰好 匹配 至 少 一 个 引用 值 。 考 虑 下 面 的 代码 : 

"J" -in "Jan", "January" 

结果 为 False， 因 为 测试 值 “J” 并 不 完全 匹配 任何 引用 值 。 它 类 似 于 -lke， 只 是 不 能 使 用 通 配 特 ， 且 只 能 返回 
布尔 值 True 或 False。 

如 果 切 换 引 用 和 测试 值 ， 束 会 执行 引用 相等 操作 ， 因 为 现在 测试 值 是 一 个 数组 。 


"Jan ys, "January yy "Janus", "Bob™” -jn "Jan 
"Jan", "January", "Janus", "Bob™ -In “Jan ， "January ， "Janus", "Bob" 


这 两 个 命令 都 返回 False。 要 点 是 ， 需 要 知道 引用 值 和 测试 值 要 位 于 in 和 -notin 操作 符 的 两 端 。 除 非 了 解 引 用 
相等 是 如 何 工作 的 ， 否 则 需要 确保 -in 和 -contains 都 有 一 个 测试 值 。 这 将 得 到 一 个 整洁 的 布尔 值 True 或 False。 如 采 
使 用 数组 作为 测试 值 ， 结 果 可 能 出 乎 意料 。 


2.10.8 ”使 用 -replace 操作 符 


有 时 得 到 的 数据 可 能 需要 将 输入 值 更 改 为 其 他 值 。 例 如 ， 需 要 将 服务 器 的 名 称 值 从 “Phx-Ser-01” 更 改 为 
“SEASRV-01”。 可 以 这 样 做 : 

"Phx—Ser-01" -replace "PHX—SER", SEASRV 

SEASRV—01 


格式 是 INPUTSTRING -replace "MATCHME" , "Replacement"。 
另 一 个 有 趣 之 处 是 奉 换 的 大 小 未 必 相 同 。 下 面 是 一 个 例子 : 
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"ABCDEFG™” -TIepLace "de","ILOVECOOKRKIES™ 
返回 的 结果 是 ABCILOVECOOKIESFG。 
还 可 使 用 -replace 删除 苦 换 值 。 查 看 以 下 代码 和 结果 : 


"ABCDEFG™ ~replace "de" 
ABCFG 


-replace 操作 人生 提供 了 强大 的 功能 ， 来 操作 数据 项 。 


2.11 使 用 变量 


变量 是 包含 某 些 内 容 的 内 存 区 域 。 如 前 所 述 ， 它 们 可 包含 不 同类 型 的 数据 。 下 面 将 使 用 变量 来 保存 与 命令 一 起 
使 用 的 项 ， 通 常 使 用 变量 来 存储 命令 的 结果 ， 并 同 其 他 命令 提供 输入 。 

变量 标识 为 以 $ 开 头 的 文本 字符 串 。$myVariable 就 是 一 个 例子 。 注 意 ， 变 量 本 身 是 一 个 文本 字符 串 ， 但 这 并 不 
一 定 意味 着 变量 包含 一 个 文本 字符 串 。 可 将 变量 看 作 指 向 内 存 中 具有 某 个 值 的 区 域 的 指针 ， 即 使 该 值 为 NULL。 

因为 变量 是 文本 字符 串 ， 而 且 不 区 分 大 小 写 , 所 以 可 在 变量 名 中 包含 各 种 字符 。 变 量 名 可 包括 空格 和 特殊 字符 。 
在 变量 名 中 放置 空格 和 特殊 字符 会 导致 大 量 混乱 ， 因 为 代码 变 得 难以 阅读 和 使 用 。PowerShell 将 拒绝 任何 包含 空格 
或 特殊 字符 的 变量 名 ， 下 划 线 (_) 字 符 除外 。 如 果 坚 持 使 用 字符 ， 如 连 字 符 或 空格 ， 则 需要 将 命令 括 在 括号 中 ， 如 下 
所 示 : 

s{my poorly-chosen variable name} = "This is a really bad idea." 

有 时， 必须 引用 一 个 可 能 有 特殊 字符 的 变量 。 例 如 环境 变量 ${ENV:ProgramFiles(x86)}。 如 果 需 要 一 个 列表 ， 
可 使 用 前 面 介绍 的 命令 Get-ChildItem 编写 以 下 代码 : 

Get-ChiladItem ${ENV:ProgramFiles (x86)} 

变量 最 好 有 命名 标准 。 应 该 尝试 一 些 使 变量 的 用 途 更 明显 的 命名 标准 。$v 比 $listOfServer 更 难 理解 。 如 果 有 多 
个 管理 员 或 编码 器 ， 则 命名 标准 就 应 该 是 直观 的 、 标 准 化 的 ， 是 经 过 严格 执行 和 批准 的 。 


2.11.1 PowerShell 变量 的 类 型 


有 三 种 类 型 的 变量 : 首选 项 、 自 动 变量 和 用 户 创建 变量 。 在 设置 自 定义 PowerShell 控制 台 时 ， 已 经 学 习 了 首选 
项 变量 。 这 些 变量 在 PowerShell 会 话 局 动 时 目 动 创建 并 用 默认 值 填充 。 可 在 会 话 中 更 改 这 些 值 , 但 在 关闭 会 话 时 将 
丢失 这 些 更 改 。 如 果 和 希望 这 些 首 选项 变量 在 会 话 之 则 保持 更 改 ， 则 需要 将 更 改 添加 到 配置 文件 中 。 

目 动 变量 由 PowerShell 创建 ， 当 PowerShell 需要 跟踪 茶 些 内 容 时 目 动 更 新 。$Matches 是 日 动 变量 的 一 个 
例子 。 用 户 不 能 直接 更 改 这 些 变 量 , 但 使 用 cmdlet 和 操作 符 ( 如 -match) 所 做 的 操作 将 导致 PowerShell 目 动 更 改 

用 户 创建 的 变量 是 从 控制 台 以 及 脚本 和 函数 中 创建 的 。 这些 变 量 只 在 会 话 期 间 存在 ， 除 非 将 它们 保存 在 配置 文 
件 中 ， 否 则 它们 将 被 忽略 。 


2.11.2 ”清理 和 删除 变量 
要 删除 变量 的 值 ， 可 简单 地 将 其 值 设置 为 Snull， 也 可 使 用 Clear- Variable cmdlet， 如 下 所 示 : 


sremoveMyValue = S$NULL 
Clear-Variable -Name removeMyValueToo 


注意 ， 这 些 变 量 仍 然 存在 。 它 们 的 值 刚 被 赋值 为 SNull。 它 们 仍 占 用 空间 。 

如 果 想 删除 一 个 变量 ， 可 使 用 如 下 命令 : 

Remove-Variable SmyUnneededVar 

这 将 清除 该 值 并 从 内 存 中 删除 该 变量 。 仍 然 需 要 注意 作用 域 ， 因 为 如 果 删 除 局 部 作用 域 的 变量 ， 将 只 清除 局 部 
作用 域 的 变量 。 如 果 有 一 个 同名 的 父 变 量 ， 将 在 局 部 作用 域 中 看 到 该 变量 。 
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2.11.3 ”使 用 可 变 驱 动 器 
PowerShell 将 创建 一 个 虚拟 驱动 器 ， 它 的 作用 类 似 于 具有 文件 系统 的 驱动 器 。 它 用 于 保存 当前 会 话 中 存在 的 所 
有 变量 及 其 赋值 。 可 将 其 视 为 文件 系统 驱动 器 ， 从 而 更 改 为 Variable: 驱 动 嚣 ， 如 下 所 示 : 
CQ Variable: 
当然 ， 这 将 调用 别名 。 如 果 想 在 不 使 用 别名 的 情况 下 执行 此 操作 ， 可 使 用 以 下 命令 : 
Set—Location Variable: 
可 通过 更 改 位 置 并 运行 Dir 或 ls alias， 使 用 Get-Childitem， 来 查看 这 个 Variable: 驱 动 器 的 内 容 ， 如 下 所 示 : 
Set—location Variable: 
D1Ir 
Get—ChildItem Variable: 
2.11.4 ”使 用 环境 变量 
PowerShell 在 男 一 个 名 为 env: 的 PowerShell 驱动 器 中 存储 环境 变量 。 这 用 于 存储 Windows 安装 目录 、 用 户 目录 
和 临时 目录 的 位 置 等 信息 。 要 查看 此 目录 的 内 容 ， 可 执行 相同 的 操作 ， 如 下 所 示 : 


Set—-location env: 


Dir 
Get—ChildItem enyv: 
Get—lItem enyv: 


env: 驱 动 器 中 的 这 些 对 象 没 有 了 项， 因此 Get-Item 和 Get-ChildItem 返回 相同 的 信息 。 

环境 变量 由 父 会 话 和 子 会 话 共 享 。 这 人 允许 在 父 会 话 和 子 会 话 之 间 共 享 值 。 在 变量 名 前 加 上 $env: 可 吾 看 和 操作 环 
境 变 量 ， 如 下 所 示 : 

Semnv:Tmp 


swindowsdirectory = $env:windir 
senv:myNewEnvironmentalVariable = "Data that is available to the parent and child" 


2.12 ”使 用 轴 数 


到 目前 为 止 ， 几 乎 一 次 执行 一 个 cmdlet。 图 数 允 许 收 集 任 何 数量 的 PowerShell 语句 ， 为 这 一 系列 语句 指定 一 个 
名 称 ， 并 依次 执行 它们 。 可 将 参数 传递 给 函数 。 可 为 图 数 创建 目 己 的 参数 。 可 将 函数 的 输出 放 到 变量 中 ， 或 者 加 载 
党 道 ， 甚 至 将 输出 发 送 到 其 他 cmdlet 或 图 数 中 。 
2.12.1 ”函数 的 执行 

只 需要 输入 Get-Help About Functions， 承 可 以 看 出 ， 国 数 是 一 个 给 定名 称 的 代码 块 。 还 可 以 看 出 图 数 的 基本 格 
式 。 下 面 是 用 来 创建 函数 的 代码 : 

Function Snag-SecurityLog {Get-EventLog Security} 

这 个 命令 将 创建 一 个 名 为 Snag-SecurityLog 的 函数 。 然 后 ， 可 创建 一 个 别名 来 调用 函数 : 

New-Alias -Name View-SecurityLog -Value Snag-SecurityLog 

现在 可 输入 View-SecurityLog 来 调用 Snag-SecurityLog 函数 ， 该 函数 运行 Get-EventLog cmdlet。 这 不 是 获得 日 
志 的 最 有 效 方法 ， 看 起 来 相当 繁杂 。 如 果 深 入 了 解 About Functions 文件 ， 会 发 现 以 下 部 分 : 


Using Splatting to Represent Command Parameters 

You can use splatting to represent the parameters of a command. 

This feature 13 introduced in Windows Powershell 3.0. 

Use this technique in functions that call commands in the session. You do not need to declare 
or enumerate the command parameters, or change the function when command parameters change. 


The following sample function calls the Get-Command cmdlet. The command uses @Args to 
represent the parameters of Get-Command. 
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function Get-MyCommand { Get-Command @Args } 


2.12.2 Splatting 


Splatting 听 起 来 很 奇怪 ， 但 通过 俘 看 示例 ， 进 一 步 深入 了 解 ， 会 发 现 可 以 修改 别名 ， 以 允许 同 函 数 传 递 参 数 ， 
而 不 必 声 明 参 数 ， 甚 至 不 必 声 明 参 数 的 数量 。 所 以 现在 函数 和 别名 可 以 改变 ， 如 下 : 

Function View-ALog {Get-EventLog (QArgs} 

New-Alias -Name Grab-Log -Value View—ALog 

现在 已 经 修改 了 函数 和 别名 ， 以 便 有 机 会 使 用 单个 别名 并 问 函 数 传递 参数 。 这 个 新 的 别名 可 以 告诉 函数 要 检索 
哪个 日 志 。 下 面 是 一 些 新 发 现 的 别名 和 所 提供 的 函数 技能 : 

Grab—-Log Security 

Grab-Log Application 

Grab-Log System 

这 不 是 为 提高 效率 而 设计 的 ， 而 是 为 了 展示 About 文件 中 可 用 的 信息 的 广度 ， 以 及 如 何 使 用 这 些 文件 来 友 现 执 
行 所 需 操作 的 新 方法 。 


2.12.3 创建 函数 


函数 可 以 非常 简单 。 如 果 想 知道 PowerShell 使 用 了 多 少 RAM， 可 以 使 用 一 个 函数 ， 如 下 所 示 : 


PS C:\> Function Pull-ShellRam {Get-—-Process PowerShell} 
PS C:\> Pull-ShellRam 
Handles NMP (K) PM (K) WS (K) VM (MI) CPUI(S) ID ProcessName 


| 22 DU836 2961 D711 0.172 312 powershell 


函数 可 以 任意 命名 。 最 好 遵循 PowerShell 目前 使 用 的 标准 动词 -名 词 约定 。 动 词 应 该 表示 函数 在 执行 什么 动作 。 
这 个 名 词 应 该 识别 出 操作 的 数据 项 。 


以 现 有 的 cmdlet 命名 函数 
应 该 避免 使 用 已 有 的 cmdlet 给 函数 命名 。 如 果 使 用 一 个 已 在 使 用 的 名 称 ， 该 名 称 将 掩盖 原来 的 cmdlet， 将 改 而 
调用 通 数 ， 


下 面 是 函数 的 语法 : 
function [<scope:>]<name> [([typel]$parameterl[, [type]s$sparameter2])] 
paraml( [typels$parameterl |[, [typel]$parameter2]) 
dynamicparam {<statement list>} 
begin {<statement list>} 
process {<statement 1l1ist>} 
end {<statement 1l11ist>} 
} 
这 个 函数 可 以 保存 参数 。 可 以 输入 单个 参数 。 大 要 添加 几 个 参数 ， 束 可 以 用 逗号 分 隔 来 它们 。 这 些 都 在 声明 函 
数 的 地 方 指定 。 如 果 在 声明 函数 时 声明 了 参数 ， 则 不 能 在 函数 体 中 声明 任何 其 他 参数 。 
用 一 个 大 括号 (1 打开 函数 体 ， 并 开始 添加 语句 。 稍 后 会 再 次 讨论 不 同类 型 的 参数 和 参数 声明 。 
begin、process 和 end 在 管道 中 使 用 ， 稍 后 讨论 。 
在 大 括号 (人 之 后 ， 可 添加 任意 数量 的 语 铝 。 如 果 语 句 在 同一 行 上 ， 则 需要 在 语句 之 间 添 加 分 号 ()。 还 可 以 将 每 
个 语句 放 在 单独 的 行 上 ， 这 样 就 不 必 使 用 分 号 。 这 可 以 增强 可 读 性 。 也 可 以 缩 进 各 个 部 分 ， 以 使 它们 更 便于 阅读 。 
缩 进 时 ， 可 以 全 部 使 用 空格 或 全 部 使 用 制 表 符 。 如 果 同 时 使 用 空格 和 制 表 待 ， 在 脚本 之 间 剪 切 和 粘贴 时 ， 空 格 的 合 
义 可 能 会 很 奇怪 。 这 可 能 导致 脚本 认为 空格 标识 一 个 参数 。 如 果 对 缩 进 全 部 使 用 空格 或 全 部 使 用 制 表 符 ， 就 不 会 出 
现 这 个 问题 。 
为 提高 可 读 性 ， 可 为 脚本 添加 注释 。 这 些 注 释 前 面 有 一 个 # 符 号 。 那 一 行 上 # 竺 号 右边 的 任何 东西 都 被 忽略 。 如 
果 项 望 注 释 包 含 多 行 ， 则 需要 在 每 行 的 前 面 使 用 # 和 从 号。 使 用 小 于 号 和 英镑 符号 (< 才 来 局 动 块 , 就 可 以 创建 一 个 注释 
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块 。 然 后 ， 可 根据 需要 在 任意 行 中 添加 任意 数量 的 注释 。 然 后 用 另 一 个 # 符 号 和 一 个 大 于 号 (#>) 结 束 注释 块 。 
这 些 就 是 函数 的 基本 知识 。 现 在 有 了 函数 名 和 注释 。 还 可 在 一 行 和 多 行 上 使 用 代码 片段 。 这 个 过 程 在 伪 代 码 中 
说 明 : 
Function Dostuff-~-OurCoolThing 
{ 
#Here jis a Comment on a single line. Our function is designed to process your 
# cool thing. Broken line so You have to have another comment mark 
<# This is a comment block that you started. 
Our comments can be endless and your spacing and tab location aoesn 七 matter as 
The comment block ends when You end it #»> 
Put—-codelinel ; Put-Codelinez 
Put—codleine3nosemi 
Put—~Codeline4nosemi 


} 


伪 代 码 到 搬 是 什么 ? 

伪 代 码 只 是 用 来 开始 开发 代码 的 文本 。 它 可 以 确定 一 般 格 式 ， 而 不 必 深 入 控 握 或 考虑 语法 细节 。 这 比 流程 图 低 
级 一 点 。 编 写 伪 代码 要 使 用 标准 命令 ,但 不 进行 确切 的 编码 。 伪 代码 通常 在 设计 代码 时 使 用 ， 以 便 在 早期 阶段 加 速 
开发 ， 并 增强 可 读 性 。 


用 户 需 要 养 成 给 函数 和 脚本 添加 注释 的 习惯 。 需 要 为 空格 、 变 量 名 、 函 数 名 以 及 几乎 所 有 对 象 建立 标准 。 这 将 
使 代码 更 容易 创建 、 使 用 和 维护 ， 也 便于 排除 故障 。 


2.12.4 ”使 用 参数 


仅 通 过 参数 同 函数 发 送 数 据 是 最 佳 实践 。 这 样 便于 生成 文档 ,使 函数 目 包 含 。 它 还 模仿 了 PowerShell 的 其 他 部 
分 的 工作 方式 ， 保 留 了 熟悉 的 环境 。 

可 为 函数 分 配 参数 。 可 以 像 大 多 数 cmdlet 参数 一 样 命名 这 些 参 数 。 也 可 以 给 它们 指定 位 置 。 总 是 以 相同 的 顺序 
为 函数 发 送 具 有 相同 预期 的 参数 时 ， 这 非常 有 用 。 它 可 能 使 阅读 变 得 困难 ， 但 可 以 减少 需要 发 送 的 数据 量 。 


1. 命名 参数 
命名 参数 与 本 章 前 面 使 用 的 参数 类 似 。 它 们 有 一 个 名 称 ， 可 以 赋予 一 个 值 或 者 一 个 值 数 组 。 可 在 包含 代码 区 域 
的 大 括号 内 部 或 外 部 命名 它们 。 下 面 是 一 个 在 声明 函数 时 声明 参数 的 例子 : 
Function Display-Values {($Parameterl, $Parameter?) 
{ 
svarl = S$Parameterl 
Write-—-Host ("This is from varl "+$varl) 
Write-Host ("This is from Parameter2 "+$Parameter2) 
Write-Host ($SParameter]l, $sParameter2) 


} 


PowerShell 复制 所 有 对 象 
可 将 参数 的 值 赋 给 变量 ， 也 可 以 直接 引用 参数 。 这 是 因为 PowerShell 秘密 地 执行 了 一 些 操作 。 创 建 或 引用 一 个 
参数 时 ，PowerShell 会 秘密 地 将 该 参数 复制 到 同名 变量 中 。 


要 使 函数 工作 ， 必 须 将 代码 加 载 到 会 话 中 。 在 ISE 中 ， 只 需要 输入 代码 ， 选 择 它 ， 然 后 按 F8 键 。 如 果 它 是 脚 
本 窗口 中 唯一 的 代码 ， 按 Fs 键 ， 就 会 运行 脚本 窗口 中 的 所 有 内 容 。 

在 痢 规 控制 侣 中， 一 次 只 能 输入 一 行 代 码 。 除 非 能 幸运 地 换行 ， 否 则 不 能 在 一 行 中 和 输入 所 有 内 容 。 这 一 行 也 非 
党 难以 阅读 ， 可 能 需要 大 范围 深 动 ， 才 能 确保 键入 的 所 有 内 容 都 正确 。 

通常 ， 函 数 代 码 会 保存 为 .psl 文件 ， 也 称 为 脚本 。 然 后 加 载 并 运行 脚本 。 这 将 函数 放 入 当前 作用 域 的 Function: 
驱动 器 ， 将 函数 加 载 到 会 话 中 。 可 以 像 前 面 对 Variable: 驱 动 器 那样 看 待 这 个 Function: 驱 动 器 。 

可 按 如 下 方式 调用 此 函数 并 传递 参数 : 


PS C:\Windows\system32> Display—Values -Parameterl Hello -Parameter2 World 
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This is from varl Hello 
This is from Parameter? World 
Hello World 


注意 ， 在 每 个 传递 的 参数 之 间 有 一 个 空格 。 还 可 以 省 略 参数 名 ， 并 根据 定义 的 顺序 确定 其 位 置 。 去 挥 参数 的 名 
称 时 是 这 样 的 : 


PS C:\Windows \system32> Display-Values Learning PowerShell 


This 1i3 from varl Learning 
This 13 from Parameter2 PowerShell 
Learning PowerShell 


同样 重要 的 是 ， 要 注意 把 用 空格 分 隔 的 参数 传递 给 函数 。 如 果 用 逗号 传递 参数 值 ， 所 有 值 都 将 作为 数组 添加 到 
第 一 个 参数 中 。 

如 果 决 定 在 函数 体 中 声明 参数 ， 那 么 在 声明 函数 本 喘 时 束 不 能 声明 它们 。PowerShell 会 抛 出 一 个 错误 ， 展 示 确 
切 的 信息 。 下 面 在 函数 体 中 定义 参数 。 注 意 ， 参 数 名 只 是 名 称 。 参 数 的 位 置 由 声明 时 的 位 置 定义 。 传 递 的 第 一 个 参 
数 实 际 上 位 于 位 置 0。 

在 本 例 中 ， 输 出 的 顺序 是 不 同 的 ， 以 说 明 可 按 任 何 顺序 使 用 参数 。 当 声明 一 个 参数 时 ， 它 甚至 赋 给 了 默认 值 。 
声明 时 注意 参数 之 则 的 逗号 : 


Function Display—Values 


{ 
Paraml( 
$sParameterl, S$Parameter2, 
sParameter3, 
[String] $Parameter4 = "Nano"™, 
SParameteIr5 
) 
Write-Host (5Parameter3 ,3ParameteTr4 ,5ParameteTr1 5Parameter2 ,5Parameter5) 


} 
PS C:\Windows \system32> Display-Values Server 2016 Windows 


Windows Nano Server 2016 

运行 函数 是 相同 的 。 除 非 在 调用 函数 时 将 值 传递 给 参数 ， 否 则 定义 的 任何 参数 (不 发 送 参数 值 或 赋予 默认 值 ) 都 
赋值 为 SNULL 。 

还 要 意识 到 ， 如 果 传 递 了 一 个 具有 默认 值 的 参数 ， 所 传递 的 值 将 覆 关 默认 值 。 下 面 使 用 相同 的 函数 ， 但 添加 第 
四 个 参数 : 


PS C:\Windows\system32> DispLay-Values Server 2016 Windows Installation 
Windows Installation Server 2016 


这 个 输出 可 能 出 竹 意 料 ， 因 为 读者 可 能 认为 ， 第 四 个 参数 在 定义 时 指定 了 默认 值 ， 该 默认 值 会 被 覆 将 。 其 实 并 
非 如 此 。 当 参数 的 顺序 不 同时 ， 需 要 按 以 下 方式 传递 参数 ， 使 它 成 为 合理 的 语句， 而 不 是 履 兰 默认 值 : 


PS C:\Windows\system32> Display-Values Server 2016 Windows -Parameter5 Installation 


Windows Nano Server 2016 Installation 
这 说 明了 为 什么 在 传递 参数 时 为 其 命名 ,使 其 更 易于 阅读 。 只 要 指定 参数 的 名 称 ， 可 按 任 何 顺序 传递 命名 的 参 
数 。 这 还 允许 精确 地 定义 所 传递 的 参数 。 


2. 必 选 参数 
很 多 时 候 ， 如 果 图 数 疫 有 得 到 需要 的 参数 ， 它 们 束 没 有 价值 。 可 在 [Parameters] 中 定义 与 参数 关联 的 属性 。 一 个 
属性 是 Position， 男 一 个 是 Mandatory。 下 面 在 代码 块 中 设置 一 个 必 选 参数 ， 如 下 所 示 : 
Function Show—-OQurValues 
{ 
Param ($Paraml, 
[Parameter (Mandatory = $True)] [string] $stringParam 


) 
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WIILe-Host (S$Param1l, SStringParam) 
} 
Show-OQurValues PassingJustTheFirstParam 
因为 只 传递 了 第 一 个 参数 (位 于 位 置 0)， 而 第 二 个 参数 (位 于 位 置 1) 是 必 选 的 ， 所 以 控制 台 要 求 输 入 第 二 个 值 。 
在 IsE 中 , 会 显示 一 个 对 话 框 ， 如 图 2.16 所 示 。 


™—se 
cmdlet Show-OurValues at command pipeline position 1 - Supply values 二 ,加 


strnngParam 


图 2.16 忘记 了 必 选 参数 


注意 ，ISE 很 好 地 提示 用 户 蕊 记 了 哪些 参数 。 这 说 明了 为 什么 有 意义 的 参数 名 很 重要 。 在 控制 台 上 还 将 获得 类 
似 的 输出 。 还 可 以 提供 一 个 帮助 消息 ， 该 消息 只 在 用 户 筷 记 参 数 时 显示 ， 如 下 所 示 : 

Param 

( 

[Parameter (Mandatory=$True, HelpMessage="Enter one or more AD site names, separated by a comma.")] 

[String[]] $townName 

) 


必须 使 用 [Parameter(Mandatory = $True)] $myParameterName 来 修改 参数 的 属性 。 也 可 设置 其 他 属性 ， 比 如 它 的 
位 置 : 


Param ( 


[Parameter (Mandatory = $True, Positionl)] $myParameter 


) 

此 代码 块 显示 ， 可 在 Parameter 部 分 中 设置 多 个 参数 属性 。 这 个 示例 将 $myParameter 设置 为 第 二 个 参数 。 记 住 
位 置 从 0 开始。 该 参数 也 是 必需 的 。 当 然 ， 如 果 通 过 名 称 引 用 命名 参数 ，PowerShell 将 忽略 命名 参数 的 位 置 ， 并 直 
接 赋 值 。 

3. 位 置 参数 

所 创建 的 参数 将 根据 定义 它们 的 顺序 来 分 配 位 置 ， 或 硬 编码 其 位 置 ， 如 前 所 示 。 默 认 情 况 下 ， 所 有 参数 都 是 位 
置 参数 ,但 可 用 男 一 种 方式 存储 它们 。 使 用 这 个 方法 ， 不 会 给 它们 指定 名 称 ， 而 将 它们 目 动 存储 在 一 个 数组 中 。 以 
前 在 splatting 中 看 到 过 这 样 的 例子 ， 但 不 是 通过 @ 传 递 参数 ， 而 是 将 它们 放 入 $args 数组 中 。 

传递 给 函数 的 任何 内 容 都 存储 在 $args 数组 中 。 第 一 个 参数 在 第 一 个 位 置 ， 从 0 开始 。$args 数组 看 起 来 有 点 像 
电子 表格 ， 其 中 不 仅 有 值 ， 还 有 其 他 属性 ， 而 位 置 就 是 行 。 记 住 ， 第 一 个 参数 存储 在 $args[0] 中 。 为 了 增加 乐趣 ， 
如 果 使 用 Get-Help cmdlet， 它 将 显示 Position 属性 ， 但 是 这 个 值 增加 了 1。 因此 ， 第 一 个 位 置 参 数 (Position 0) 具 有 " 
Position?1" 的 参数 属性 。 这 可 能 很 混乱 ， 如 果 瑟 记 了 这 一 点 ， 可 能 导致 一 些 有 趣 的 故障 。 


下 面 是 一 个 示例 函数 : 

Function 员 中 中 一 DomalDn 

{ 

$FQDN = $args[0]+".Contoso.com" 
SEODN 

} 


PS C:\Windows\system32> Add-Domain Serverl5 


Serverly .Contoso .Com 
如 果 没 有 传递 参数 值 ，$args[0] 将 是 SNULL， 输 出 会 反映 出 来 : 


PS C:\Windows\system32> Add-Domain 


Contoso. com 
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4. 开关 参数 

开关 参数 就 像 电 灯 开 天。 其 思想 是 , 如 果 传 递 了 开关 参数 的 值 , 无 论 传递 的 实际 值 是 多 少 , 参数 都 将 变 成 $True， 
除非 传递 的 是 $False 。 当 参数 定义 为 开关 参数 时 ， 访 参数 就 默认 为 $False。 

如 果 在 调用 函数 时 没有 发 送 开关 参数 ， 它 就 一 直 是 $False。 如 果 将 参数 传递 给 函数 ， 即 使 没有 值 ，PowerShell 
也 会 将 参数 值 设 置 为 $4Trme。 同 样 可 将 参数 传 违 为 $4False， 它 将 始终 是 $False。 

这 使 编写 的 代码 能 够 基本 上 忽略 开关 参数 的 值 ， 并 仅 在 传递 开关 参数 时 执行 操作 。 代 码 还 可 以 只 在 开关 参数 的 
值 一 直 是 $False 的 情况 下 才 运 行 图 数 。 传 递 开关 参数 会 打开 或 关闭 值 。 下 面 设 置 开 关 参 数 ， 并 运行 一 些 示例 值 ， 以 
查看 是 否 将 -DomainParam 传递 给 函数 : 

Function Check-—-Domain 

{ 

param ( 

[switchls$DomainParam #This sets -~~DomainParam to S$False 
) 
If ($DomainParam -eq $True) {"There is a domain."™} 
else {"No Domain Found.™"} 


} 
PS C:\Windows\system32> Check-Domain 


No Domain Found. 

PS C:\Windows\system32> Check-Domain Valuel Value2 Value3 
No Domain Found. 

PS C:\Windows\system32> Check-Domain -DomainpParam 


There is a domain. 
在 参数 名 之 后 添加 一 个 布尔 值 ， 可 将 布尔 值 传递 给 参数 ， 如 下 所 示 : 


PS C:\Windows\system32> Check-Domain DomainPparam: $False 

No Domain Found. 

PS C:\Windows\system32> Check-Domain ~-DomainpParam:$True 

There is a domain. 

PS C:\Windows \system32> Check-Domain -DomainParam:$Grapefruit 


There i535 a domain. 


记 住 ， 给 开关 参数 传递 除 $False 之 外 的 任何 值 ， 将 总 是 重新 赋值 为 STrue。 芷 语句 将 在 稍 后 讨论 。 


2.12.5 ”将 管道 对 象 发 送 给 带 有 Begin、Process 和 End 的 函数 


可 将 管道 对 象 发 送 给 函数 。 只 在 函数 开始 时 执行 Begin 语句 。 此 时 还 没有 从 管道 里 提取 出 任何 数据 。 一 旦 Begin 
语句 完成 ，Process 语句 将 为 管道 中 的 每 个 对 象 运行 一 次 。 当 对 象 分 配给 管道 时 ， 它 们 由 $PSItem 上 自动 变量 和 旧 的 $_ 
自动 变量 引用 。 这 两 个 自动 变量 都 引用 PowerShell 省 道中 的 当前 对 象 。 请 记 住 ，$PSItem 只 由 PowerShell 3.0 或 更 
高 版 本 支持 。 

处 理 完 所 有 项 后 ，End 语句 将 运行 一 次 。 如 果 不 包含 Begin、Process 或 End 关键 字 , 则 每 个 语句 都 将 被 视 为 End 
语 名 列表。 下面 是 一 些 示例 代码 : 

Function Examine—Pipeline 

{ 

Begin {SmyVar = "Nothing first pulled from 七 he pipeline 一 一 一 >5PSItLem< 一 一 一 " 
smyVar 
| 


Process | 
smyVar = "Value from the pipeline S$PSItem"™" 
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End 


smYVar = "This only executes at the end"™" 
SmyVvar 
} 
} 
PS C:\Windows \system32> 2,4,8 | Examine—-Pipeline 


Nothing first pulled from 七 he pipeline 一 一 一 > 所 一 一 一 
Value from the pipeline 2 
Value from the pipeline 4 


Value from the pipeline 8 
This only executes at 七 he end 


2.12.6 碍 看 会 话 中 的 所 有 肯 数 


函数 存储 在 Function: 驱 动 器 中 。 这 与 前 面 提 到 的 Variables: 驱动 器 一 样 。 要 查看 会 话 中 加 载 的 所 有 函数 ， 可 以 
更 改 驱 动 器 ， 并 使 用 别名 Dir， 也 可 简单 地 使 用 以 下 命令 : 
Get—ChildItem 一 Path Function: 


这 个 命令 也 适用 于 其 他 驱动 器 ， 因 为 如 前 所 述 ，Dir 是 一 个 别名 。 


2.13 ”格式 化 输出 


PowerShell 可 通过 许多 不 同方 式 将 输出 显示 到 控制 台 。 表 2.2 列 出 了 这 些 格式 cmdlet 及 其 别名 。 


表 2.2 输出 格式 
cmdlet 别 | 名 
Format- Wide FW 
Format-List FL 
Format-Table FT 


这 些 格式 cmdlet 有 目 己 的 参数 ， 称 为 属性 。 属 性 保存 要 显示 的 属性 列表 。 通 过 传递 希望 显示 的 各 种 特性 ， 可 修 
改 此 属性 。 每 种 格式 类 型 都 显示 特定 的 默认 属性 。Format-Wide 只 有 一 个 属性 。Format-List 和 Format-Table 可 以 有 
几 个 属性 。 
2.13.1 使 用 Format-Wide 

Format-Wide 是 控制 台 的 默认 输出 格式 。 下 面 是 Format-Wide cmdlet 的 一 个 示例 : 


PS C:\Users\Administrator> Get-ChildItem |Format—Wide 


Directory: C:\Users\Administrator 


Documents Desktop 
Dropbox Downloads 
Links Favorites 
Pictures Music 
Searches Videos 


Format-Wide 尝试 填充 控制 台 的 整个 屏 磋 。 这 就 是 为 什么 称 为 Wide 的 原因 。 它 可 以 产生 一 些 有 趣 的 输出 。 


2.13.2 ”使 用 Format-List 
Format-List 显示 对 象 的 许多 属性 。 每 个 属性 将 加 上 了 标记 ， 放 在 单独 一 行 上 。 如 果 希 望 限制 显示 的 内 容 ， 可 将 
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值 传 递 给 - property 参数 ， 来 指定 各 个 属性 。 下 面 来 比较 默认 属性 ， 如 下 所 示 : 


PS C:\Users\Administrator> Get-ChildItem |Format—List 


Directory: C:\Users\Administrator 


Contacts 
2/24/2017 2:03 
3/17/2017 7:53 
2/24/2017 2:03 


Name 
CreationTime 有 
LastWriteTime : 
LastAccessTime : 


Mode = 
LinkType e 
Target : |} 


这 只 显示 Contacts 文件 夹 的 属性 。 现 在 告诉 Format-List 显示 同一 个 文件 对 象 的 所 有 属性 : 


Get—ChildItem | Format——List Property * 


PSPath : Microsoft.PowerShell.Core\FileSystem: :C:\Users\Administrator\Contacts 
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\Administrator 
PSChildName : Contacts 

PSDrive co 

PSProvider : Microsoft.PowerShell.Core\FileSystem 

PSIsContainer : TRUE 

Mode = 

BaseName : Contacts 

Target : {} 

LinkType . 

Name : Contacts 

Parent : Administrator 

Exists : TRUE 

Root = 

FullName : C:\Users\Administrator\Contacts 

Extension = 

CreationTime : 2/24/2017 2:03 


CreationTimeUtc 


LastAccessTime 
LastAccessTimeUtc : 


: 2/24/2017 9:03 
: 2/24/20117 2:03 
2/24/2017 9:03 


LastWriteTime : 3/1772017 7:35 
LastWriteTimeUtc 3/17/2017 14:35 
Attributes Readonly, Directory 


癌 -Property 参数 添加 一 个 逗号 分 隔 的 值 列 表 ， 并 提供 完整 的 通配符 支持 ， 就 可 以 选择 性 地 过 滤 出 要 碍 看 的 任何 


属性 。 


2.13.3 ”使 用 Format-Table 


Format-Table 用 于 表格 输出 。 记 住 ， 每 种 格式 都 有 上 自己 的 默认 值 。 下 面 是 由 Format-Table 显示 的 相同 目录 列表 : 


Get—ChildIitem | Format—Table 


Mode LastWriteTime Length Name 

局 一 工 一 一 一 3/17/2017 7:35 AM Contacts 
d-r——— 3/1i71/2017 7:35 AM Desktop 
d-—r-—— 3/17/2017 7:35 AM Documents 
避 一 工 一 一 一 3/17/2017 7:35 AM Downloads 
d-r-——— 3/20/2017 11:55 AM Dropbox 
d-—r-—— 3/19/2017 7:35 AM Favorites 
d-r-—— 3/11/2017 7:35 AM Links 

一 工 一 一 一 2/19/2017 7:35 AM Music 
d-—r-—— 2/14/2017 7:35 AM Pictures 
d-—r-——— 2/19/2017 7:35 AM Saved Games 
局 一 工 一 一 一 2/19/2017 7:35 AM Searches 
d-r-—— 2/19/2017 7:35 AM Videos 
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设置 输出 格式 还 有 其 他 选项 。 适当 的 类 型 取决 于 用 户 的 需求 和 数据 的 类 型 。 可 以 通过 传递 -Property 参数 进行 过 
滤 ， 这 有 助 于 减少 输出 的 混乱 。 


2.14 使 用 循环 


有 时 在 编写 脚本 时 ， 可 能 需要 反复 执行 相同 的 操作 ， 但 要 使 用 不 同 的 对 象 。 可 能 有 一 个 管道 ， 其 中 充满 了 需要 
操作 的 对 象 。 还 可 能 需要 一 次 又 一 次 地 重新 填充 管道 。 创 建 各 种 循环 和 条 件 循环 就 可 以 实现 这 一 氮 。 循 环 把 单个 命 
令 和 变量 元 系 真 正 结合 在 一 起 。 


2.14.1 使 用 For 循环 


For 循环 将 代码 块 运行 特定 的 次 数 ， 适 用 于 反复 运行 相同 的 代码 ， 或 处 理 与 特定 特征 匹配 的 数组 成 员 。 如 果 想 
对 数组 的 所 有 成 员 执 行 相同 的 操作 ， 最 好 使 用 下 面 讨论 的 Foreach 循环 。 


For (<init>; <condition>; <repeat>) 
{<statement 11ist»} 


For 循环 从 具有 一 个 或 多 个 命令 的 <init> 部 分 开始 。 如 果 使 用 多 个 命令 ， 则 需要 用 逗号 分 隔 命 令 。 这 个 部 分 用 初 
始 值 初始 化 一 个 变量 ， 该 变量 用 于 跟踪 循环 执行 的 次 数 。 

<condition> 部 分 具有 某 种 类 型 的 布尔 比较 或 条 件 。 这 通常 是 为 了 查看 循环 执行 的 这 数 是 否 足 够 多 。 如 果 此 比较 
的 结果 为 Trmme， 则 <statement list> 部 分 运行 一 次 ， 然 后 运行 <repeat> 部 分 中 的 命令 。 

<repeat> 部 分 通常 用 于 递增 init 部 分 中 设置 的 变量 。 然 后 再 次 执行 <condition> 部 分 。 如 果 条 件 仍然 为 真 ， 则 
<statement list> 中 的 语句 ( 称 为 命令 块 ) 将 再 次 运行 ，repeat 部 分 将 再 次 运行 。 这 将 重复 执行 ， 直 到 条 件 的 值 为 $False， 
这 种 情况 下 ，For 循环 结束 。 

<statement list> 部 分 将 包含 每 次 循环 条 件 求 值 为 True 时 执行 的 代码 。 还 可 在 <statement list> 部 分 中 更 改 
<condition> 部 分 中 要 测试 的 变量 。 

<init>、<condition> 和 <repeat> 部 分 用 分 号 分 隔 ， 也 可 使 用 回 车 分 隔 它 们 。 人 至少， 必须 有 这 三 个 部 分 ， 用 图 括号 
括 起 来 ，<statement list> 部 分 必须 有 一 个 命令 。 下 面 是 一 个 例子 : 

PS C:\Users\Administrator> For ($i=1 ; $i -lt 3; $I++) {"The counter is at $i"} 


The counter 13 at 1 
The counter 1is at 之 


第 一 次 迭代 时 ，$i 设置 为 1。 进 行 比 较 时 ，$i 小 于 3， 因 此 可 运行 命令 块 ， 输 出 结果 。 然 后 进入 repeat 部 分 ， 
将 $i 递增 1， 使 $1 = 2。 如 果 想 将 $i 递增 1 以 上 的 值 ， 可 以 指定 $it=5。 这 使 $i 的 值 增 加 5。 但 这 里 只 需要 递增 1。 

然后 PowerShell 再 次 测试 该 条 件 。 这 次 $i =2， 所 以 比较 的 结果 仍然 为 True， 代 码 块 再 次 运行 ， 之 后 $i 递 
增 到 3。 

PowerShell 进行 比较 时 ， 发 现 值 为 3 的 $i 不 再 小 于 3， 因 此 for 循环 结束 。 


2.14.2 ”使 用 Foreach 循环 


Foreach 循环 用 于 过 有 历数 组 的 所 有 成 员 。 这 个 循环 对 每 一 条 目 运行 命令 。 条 目 由 不 需要 声明 的 变量 标识 。 这 个 
变量 表示 数组 中 的 每 个 条 目 ， 一 次 表示 一 个 条 目 。 与 For 循环 不 同 ，Foreach 不 需要 知道 循环 运行 的 次 数 ， 也 不 需 
要 对 计数 变量 进行 任何 初始 化 。 下 面 是 语法 : 

Foreach ($<item> in S$<collection>) {<statement 1l1ist>} 

可 设置 一 个 数组 ， 运 行 整个 处 理 过 程 。 注 意 ， 本 例 使 用 一 个 仅 为 Foreach 循环 创建 的 变量 : 


$sourCityArray = "Paris™", "Perth","Atlanta™", "Phoenix™" 
Foreach ($magicCreatedVariable in s$ourCityArray) 
{"The City here ijis $magicCreatedVariable.™"} 

"There are no more cijities.™" 
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The city here 135 Paris. 
The city here 13 Perth. 
The city here is Atlanta. 
The city here 13 Phoenix. 
There are no more cities. 


命令 行 在 创建 冰 数 时 失败 
如 果 在 命令 行 上 运行 该 语句 ， 则 整个 Foreach 语句 (包括 命令 语句 列表 部 分 ) 必 须 放 在 一 行 中 。 如 果 希 望 将 这 些 
命令 放 在 单独 的 行 中 ， 则 需要 在 .psl 脚本 中 运行 这 些 命令 。 当 然 ， 可 在 PowerShell ISE 内 部 进行 这 个 测试 。 


还 可 以 使 用 cmdlet 而 不 是 数组 。 使 用 Get-ChildItem 可 查看 作用 域内 以 字母 G 开头 的 所 有 函数 ， 如 下 所 示 : 
Foreach ($Functions in Get-ChildItem -Path Function: -Name -Include G*) {$Functions} 
Get—Verb 

GO: 


Get—-IseSnippet 
Get—FileHash 


不 只 允许 在 语句 列表 中 有 一 个 语句 。 还 可 在 命令 管道 中 包含 Foreach。 此 时 ，Foreach 不 需要 已 识别 的 变量 或 数 
组 。 它 将 简单 地 从 前 一 个 命令 提供 的 党 道 值 中 提取 每 个 项 ， 并 对 每 个 项 运行 语句 项 ， 如 下 所 示 : 


Get-ChildItem -Path ENV: -include "“*Win*"™"™ -name| Foreach {"[ENV|:s$PSItem"} 


[ENV | :wind1ir 

这 将 过 有 历 环境 变量 ， 显 示 名 称 中 包含 Win 的 所 有 环境 变量 。 

还 可 以 使 用 - Begln、-Process 和 -End 命令 块 。 这 类 似 于 前 面 钠 数 块 的 Begln、 Process 和 End 部 分 。 从 管道 中 提 
取 对 象 前 ， 只 处 理 - Begin 部 分 。 每 个 项 目 执行 一 次 -Process 块 。 在 处 理 完 管道 中 的 所 有 对 象 后 ， 只 执行 一 次 -End 块 。 
代码 如 下 ; 

$scitiesVisited = "Paris", "Perth", "Atlanta™., "Phoenix"™" 


scitiesVisited | Foreach-Object -Begin {Write-Host ("AD Site Cities")} -Process 
{Write-Host {($PSItem)} -End {Get-Datel} 


AD Site Cities 

Paris 

Perth 

Atlanta 

Phoenix 

Tuesdavy, March 23, 2022 6:48:07 PM 


2.14.3 ”使 用 If 语句 


下 语句 用 于 根据 布尔 条 件 的 测试 结果 运行 代码 块 。If 语 句 提供 了 三 个 选项 的 多 个 组 合 ， 这 些 选项 也 支持 多 
层 髓 套 : 

令 ”如 果 条 件 测试 结果 计算 为 $STrue， 束 运行 一 个 代码 块 。 

令 ”如 宁 条 件 测试 结果 计算 为 STrue， 之 前 所 有 条 件 都 计算 为 $False， 束 运行 一 个 代码 块 。 

令 ”如果 之 前 所 有 条 件 都 计算 为 SFalse， 融 运行 一 个 代码 块 。 

下 面 是 语法 : 


If (<testl>) {<statement list 1»3>} [elseif (<test2>) {<statement 1ist 23}] [else {<statement 
1ist 3»31}] 


这 些 ff 语句 非常 简单 ， 如 下 所 示 : 

If ($a eq 3) {Write-Host "$A equals 3.™ } 

只 有 当 评 估 结 果 为 True， 才 会 执行 代码 块 。 还 可 以 使 用 如 下 下 语句 : 如 果 条 件 为 Trme， 就 运行 一 个 代码 块 ， 
如 果 条 件 为 False， 则 运行 另 一 个 代码 块 。 


If ($a 一 gt 3) 
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{ 
Write-Host "Variable a LI3 greater than 3." 
} 
Else 
{ 
Write-Host "Variable a 1i3 less than 3 or Variable a 13 empty.- 
} 


只 有 当前 面 的 过 语句 为 $False 时 ， 该 代码 的 Else 部 分 才 会 运行 。 这 可 能 是 因为 $a 变量 小 于 等 于 3， 也 可 能 是 因 
为 $a 是 $Null。 

如 果 想 让 Else 语 句 在 运行 代码 块 之 前 测试 男 一 个 条 件 , 可 将 它 放 入 男 一 个 下 语句 ,但 是 PowerShell 提 供 了 Elseif。 
对 于 Elseif， 只 有 当 第 一 个 条 件 计算 为 $SFalse 时 ， 才 会 计算 第 二 个 条 件 。 


If ($a -Lt 10) 


{ 
WIrite—Host "Site Link cost 13 less 七 han 10." 
} 
Elseif ($a -Eq S$Null) 
{ 
Write—Host "Site Link Cost is Null.™" 
} 
Elseif ($a -Lt 21) 
{ 
Write—Host "Site Link cost 13 between 10 and 20."™ 
4 
Else 
{ 
Write——Host "Site Link a 13 greater than 207” 
} 


只 要 条 件 计 算 为 Tme， 就 运行 相关 的 代码 块 ， 不 执行 其 余 Else 或 Elself 语句 。 可 在 末尾 放置 一 个 Else 语句 ， 
只 有 当前 面 所 有 条 件 语句 的 值 都 为 $4False 时 ， 才 会 执行 该 语句 。 
如 果 代 码 中 使 用 了 很 多 Elseif 语句 ， 就 应 该 使 用 Switch 语句 。 


2.14.4 ”使 用 Switch 语句 


Switch 语句 不 像 Switch 参数 。Switch 语句 指定 一 个 测试 值 ， 然 后 包含 多 个 条 件 。 如 果 测 试 值 与 条 件 匹 配 ， 则 
执行 关联 的 操作 。 与 Elseif 语句 不 同 的 是 ， 所 有 Switch 条 件 通常 都 要 测试 。 下 面 是 基本 语法 : 
Switch (<test—value>) 
{ 
<rIreference—value> {<actiony>} 


<rLreference-—-value> {<action>} 
} 
实际 的 Switch 语法 更 复杂 一 些 ， 稍 后 将 研究 它 。 
必须 明日 ， 测 试 值 是 根据 每 个 参考 值 来 检查 的 ， 即 使 测试 值 与 同一 Switch 块 中 的 前 一 个 参考 值 相 匹配 ， 也 要 
检查 。 如 果 测 试 值 匹配 参考 值 ， 就 执行 动作 代码 块 。 如 果 测 试 值 不 匹配 任何 Switch 引用 值 ， 就 不 会 为 该 测试 值 执 
行 任何 块 。 看 看 以 下 代码 : 
Switch (7) 
| 
2 {"This matches the reference walue two"} 
94{"This matches ninety-—four"™} 
1{"This is matching seven"} 
4{"This matches four™} 


1{"This matched seven again"} 


} 


This 1i3 matching seven 
This matched seven again 


下 面 的 示例 代码 处 理 位 置 数组 ， 展 示 了 如 果 测 试 值 不 匹配 任何 引用 值 会 发 生 什 么 : 
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Switch ("Perth", "PhoenlIX” "Da as”) 
{ 
Wyoming {"This matches Wyoming"} 
Perth {"This matches Perth"} 
Phoenix {"This matches Phoenix"} 
Perth {"This matches Perth again"™} 
} 


This matches Perth 
This matches Perth again 
This matches Phoenix 


Switch 值 的 顺序 可 以 任意 ， 但 每 个 测试 值 都 用 每 个 参考 值 来 测试 ， 即 使 测试 值 与 相同 Switch 块 中 的 其 他 参考 
值 匹配 ， 也 要 测试 。 
如 果 想 防止 一 个 测试 值 匹 配 多 个 参考 值 ， 可 在 Switch 上 添加 Break， 如 下 所 示 : 


Switch ("Perth™", "Phoenix","Dallas™) 
{ 
Wyoming {"This matches Wyoming"™} 
Perth 1{"This matches Perth";Break} 
Phoenix {"This matches Phoenix"} 
Perth {"This matches Perth again"™} 
} 


This matches Perth 

PowerShell 执行 Switch 块 时 ， 如 果 在 Switch 引用 值 中 遇 到 Break 语句 ，Switch 块 就 停止 计算 测试 值 并 退出 ， 
即使 测试 值 匹配 同一 个 Switch 块 中 后 面 的 引用 值 ， 或 者 有 更 多 要 检查 的 测试 值 ， 也 时 如 此 。 

如 果 和 希望 停止 对 特定 测试 值 的 进一步 处 理 ， 而 去 处 理 其 他 测试 值 ， 就 可 以 使 用 Continue 语句 ， 如 下 所 示 : 


Switch ("Perth", "Phoenix", "Dallas") 

{ 
Wyoming {"This matches Wyoming"} 
Perth {"This matches Perth™":Continuel} 
Phoenix {"This matches Phoenix"} 
Perth {"This matches Perth again™"} 

} 


This matches Perth 
This matches Phoenix 


还 可 标记 一 个 默认 的 Switch 块 ， 如 果 测 试 值 不 匹配 其 他 任何 条 件 ， 束 使 用 它 ， 如 下 所 示 : 


Switch (Perth "Phoenix","Dallas"™) 

{ 
Wyoming {"This matches Wyoming"} 
Perth {"This matches Perth"} 
Phoenix 1{"This matches Phoenix"l} 
Perth {"This matches Perth again"} 
Default {"We don't match anything"} 

} 


This matches Perth 
This matches Phoenix 
We don't match anything 


每 个 Switch 语句 块 中 只 能 有 一 个 default 语句 ， 每 个 Switch 语句 块 必须 包含 至 少 一 个 条 件 语 句 。 

实际 的 Switch 语法 使 用 表示 正则 表达 式 、 通 配 符 或 精确 值 的 参数 ， 且 只 使 用 一 个 参数 。 如 果 指 定 了 多 个 参数 ， 
则 只 使 用 最 后 一 个 指定 的 参数 。 还 可 以 让 测试 值 区 分 大 小 写 。 

Switch [-regex|-wildcard|-exact|[-casesensitive|] (<value>) 

还 可 用 文件 代 蔡 值 : 


SwWwitch [-regex|-wildcard|-exact| [-casesensitive| -file filename 
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上 述 情况 下 ，Switch 语句 后 面 都 跟着 代码 块 : 
{ 


"string" |number|lvariable|!{ expressijon 上 1{ statementlist } 
default 1{ statement11ist 上 
} 


如 果 Switch 放 在 管道 后 ， 管 道 值 就 传递 给 Switch 并 按 顺 序 处 理 。 如 果 志 到 Break 语句 ， 就 停止 处 理 Switch 块 ， 
即使 管道 中 有 其 他 对 象 , 也 不 处 理 。 因为 管道 不 是 空 的 , 这 可 能 导致 接 下 来 从 管道 中 提取 对 象 的 cmdlet 产生 意外 结果 。 


2.14.5 ”使 用 While 循环 
使 用 While 循环 比 使 用 for 循环 更 简单 。 下 面 是 语法 : 


While (<Condition>) {<statement list>} 

只 要 Condition 为 Tue，PowerShell 就 会 无 休止 地 遍历 <statement list=。 在 块 的 末尾 ， 再 次 计算 Condition。 如 果 
Condition 不 再 为 Tue， 则 循环 结束 。 注 意 ，Condition 仅 在 每 个 循环 的 开始 处 计算 。 如 果 有 多 个 语句 临时 使 条 件 为 
False， 并 且 在 完成 循环 之 前 条 件 变 成 Tme， 则 继续 循环 。 计 算 仅 意味 着 在 检查 时 条 件 为 Tue。 下 面 是 一 些 代码 ; 


While ($count ~—ne 5) 

{ 

SCOUn 二 十 十 

Write—Host "The count is "$count 


} 


The count 1is 
The count 1is 
The count 1is 


5 


The count is 


The count 13 5 


注意 ， 第 一 次 运行 代码 时 ， 变 量 $count 是 $SNull。 男 外 需要 注意 ， 当 count 变 为 5 时， 循环 仅 在 检查 条 件 后 才 停 
止 。 当 $count 等 于 5 时 ， 即 使 条 件 不 再 符合 ， 仍 然 可 以 执行 完 语 句 列 表 。 如 果 将 $count++ 语 句 放 在 Write-Host 语句 
之 后 ， 则 会 得 到 不 同 的 输出 : 

While ($count —ne 5) 

{ 

Write—Host "The count is “$count 

SCOUD 七 十 十 

} 


The count 13 
The count is 
The count is 
The count 13 


The count 1is 


使 用 一 个 While 代码 块 集 止 服务 器 

一 定 要 知道 ， 如 果 语 名 列表 有 一 个 错误 ， 使 条 件 始 终 为 True， 循 环 就 永远 不 会 停止 。 此 时 需要 使 用 CtIHC 来 
停止 运行 。 如 果 这 个 循环 用 于 编写 文件 名 包含 递增 数字 的 文本 文件 ， 而 不 在 控制 台 上 生成 可 见 的 输出 ， 就 可 能 成 为 
一 个 大 问题 。 此 时 可 用 一 行 代码 填充 服务 器 的 磁盘 驱动 器 。 

如 果 想 在 一 行 代码 中 编写 While 循环 ， 就 应 该 用 分 号 分 隔 不 同 的 语句 行 ， 如 下 所 示 : 

While{scount -ne 5) {scount++ ; Write-Host "The count is "5Count} 


关键 是 要 明白 ， 只 要 条 件 为 True， 循 环 就 会 永远 运行 下 去 。 


2.14.6 ”使 用 Where-Object 方法 


下 语句 非常 强大 ， 但 需要 编写 大 量 代码 。 和 希望 基于 属性 值 选 择 集合 中 的 对 象 时 ， 要 使 用 Where 语句 。Where 有 
几 个 语法 选项 ， 它 们 取决 于 使 用 什么 作为 条 件 语句 。 下 面 是 两 个 例子 : 
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Where-oOb]ject [-Property] <Sstring> [|[-Value] <Object>] -comparisonoperand [-InputObject 
<PSObjJect>|] [<CommonParameters>| 


在 Where 方法 的 不 同 语法 版 本 之 间 ， 比 较 操作 符 通 党 是 不 同 的 ， 因 此 在 示例 中 它 是 冬 体 。 

要 查看 整个 语法 列表 ， 可 输入 Help Where-Object。 

PowerShell 提供 了 两 种 使 用 Where 的 方法 。 第 一 种 方法 是 使 用 脚本 块 。 脚 本 块 允许 指定 属性 名 、 比 较 操 作 人 和 从 和 
引用 值 。 下 面 是 一 个 带 有 脚本 块 的 示例 : 

Get-Service | Where-Object {S$PSItem.Status -ed "Stopped"} 


这 两 种 方法 都 有 效 ， 输 出 也 没有 区 别 。 


在 域 中 查找 正在 运行 的 所 有 进程 

通常 ， 参 数 需要 特定 类 型 的 数据 。 处 理 管道 中 的 对 象 时 ， 可 能 没有 下 一 个 cmdlet 参数 所 需 的 确切 值 类 型 。 我们 
经 常 有 某 个 对 象 ， 但 需要 另 一 个 对 象 。 下 面 列 出 一 个 需求 ， 并 分 析 如 何 满足 这 个 需求 。 

假设 需要 获得 域内 所 有 计算 机 正在 运行 的 进程 的 列表 ， 并 希望 每 台 计 算 机 都 有 一 个 以 该 计算 机 命名 的 文本 文 
件 。 在 每 个 文件 中 ， 需 要 获得 特定 主机 上 正在 运行 的 所 有 进程 的 列表 。 如 果 主 机 不 可 用 ， 则 需要 一 个 单独 的 文件 列 
出 所 有 无 响应 的 系统 。 

第 一 步 是 获得 所 有 正在 运行 的 计算 机 的 列表 。 为 此 可 使 用 以 下 代码 : 

Get—ADComputer -Filter 二 

-Filter 参数 允许 选择 单个 机 器 。 由 于 需要 所 有 计算 机 ， 因 此 使 用 唯一 允许 的 通配符 : 星 号 (*)。 

此 命令 列 出 域内 的 所 有 计算 机 ， 以 及 所 有 相关 属性 。 这 里 把 输出 精简 到 一 台 计 算 机 。 输 出 是 一 个 对 象 ， 它 
一 个 属性 列表 和 相关 的 值 ， 如 下 所 示 : 


DistinguishedName : CN=DEN-DCU /OU=Domaln Controllers,DC=Contoso, DC=com 
DNSHostName : DEN—DCO .contoso.com 

Enabled : True 

Name : DEN—DCOT 

ObjectClass : Computer 

ObjectGUID : d9fcalf2-68di/-48ab-984d-9f8]l1c /esdabd 

SamAccountName : DEN-—DCOTS 

SID =: 9S—1—5—21-—10710347451-14835490471-3396811997--1001 


UserPrincipalName 

我 们 想 使 用 计算 机 的 完全 限定 域名 ， 所 以 需要 DNSHostName 属性 的 内 容 。 还 希望 使 用 Get-ADComputer 命令 
的 输出 作为 另 一 个 命令 的 参数 值 。 为 此 可 在 括号 内 设置 Get-ADComputer。 使 用 以 下 代码 : 

Get—-Process ComputerName (Get—~-ADComputer ~—Filter *) 

get—process : Couldn 七 connect to remote machine. 


At line:l char:l1 
十 process | Ge 七 一 TE -Filter 


+ CategorylInfo : NotSpecifijed: (:) [Get—Process], InvalidoOperatlionException 
+ FullyQualifiedErrorlId : System.InvalidOperationException,Microsoft.PowerShell.Commands. 
GetProcessCommand 


问题 是 ，Get-Process 命令 的 参数 -ComputerName 查找 具有 计算 机 名 称 的 字符 束 。Get-ADComputer 返回 了 更 多 
信息 。 下 面 尝试 使 用 Select-Object 命令 删 减 该 信息 ， 以 便 只 提取 出 DNSHostName， 如 下 所 示 : 


Get—Process ~ComputerName {Get—ADComputer -Filter * | Select-Object -Property DNSHostName) 


Get—Process : Couldn't connect to remote machine. 
At line:l1 char:l1 
+ Get—-Process ~ComputerName {Get—ADComputer -Filter * | Select— Be TY DN ... 


+ CategoryInfo : NotSspecified: (:) [Get-Process], InvalidoperationException 
+ FullyQualifiedErrorlId : System.1lnvalidoperationException,Microsoft.PowerSshell .Comands. 
GetProcessCommand 


还 有 一 个 错误 。 也许 需 要 在 应 用 过 滤器 时 查看 Get-ADComputer 命令 的 输出 。 把 它 赋 给 一 个 变量 ， 并 检查 它 的 
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值 。 现 在 ， 只 考虑 一 台 计 算 机 ， 如 下 所 示 : 


shosts = (Get-ADComputer -filter * |Select-Obiject -Property DNSHostName) 
Write-—Host $hosts 


atDNSHostName=DEN-DCU / .Contoso.com @{DNSHostName=DEN—Win1l6-01.Contoso.com} @ 

tLDNSHostName=DEN-W1InlLo-02 .Contoso -Com @{DNSHostName=DEN—Winl16-03.contoso.coml} 

问题 就 在 这 里 。-Computer name 属性 需要 一 个 字符 串 。Get-ADComputer 命令 返回 具有 多 个 属性 的 对 象 。 当 输 
出 被 过 滤 为 只 剩 下 DNSHostName 时 ， 对 象 就 包含 需要 的 字符 串 ， 但 它 不 是 字符 串 形 式 。 它 仍然 是 具有 单个 属性 的 
对 象 。 如 果 把 它 写 进 一 个 文件 ， 然 后 读 取 文件 ， 执 行 一 个 CSV 操作 ， 会 怎么 样 呢 ? 下 面 是 代码 和 输出 : 


Get—ADComputer -Filter *|Select-Object -Property DNSHostName |ConvertTo—-Csv 
-NoTypeInformation |Out-File c:\computers.txt 


"DNSHostName™ 
"TDEN—DCO 7 .Contoso.com" 
"DEN-—Winl16-01.contoso.com" 
"DEN—Winl16-—02 .Contoso.com" 
"DEN—Winl6—03.Ccontoso.com” 


即使 去 掉 了 类 型 信息 ， 仍 然 有 文本 DNSHostName， 它 是 标识 单个 属性 的 标 头 。 如 何在 没有 标题 的 情况 下 提取 
字符 串 ? 


扩展 属性 

可 编写 相当 复杂 的 代码 来 搜索 和 提取 DNSHostName,， 但 代码 是 专门 构建 的 ， 不 太 灵 活 。 盏 运 的 是 ，PowerShell 
还 有 一 种 选择 。 可 展开 对 象 中 的 属性 。 展 开 属性 只 需要 处 理 一 个 属性 并 提取 值 。 

下 面 尝试 相同 的 括号 命令 ， 但 扩展 DNSHostName 属性 。 记 住 ， 只 能 从 管道 的 对 象 中 扩展 单个 属性 。 下 面 是 代 
码 和 输出 : 


shosts = (Get-ADComputer -filter * |Select-Object -ExpandProperty DNSHostName) 
Write—-Host $hosts 


DEN—DCOT .Contoso.com 

DEN—Winl6—01 .Contoso .Com 
DEN—Winl6—02.Contoso.com 
DEN—Winl6—03.Contoso.com 


这 正 是 我 们 希望 使 用 的 数据 。 它 将 $hosts 变量 加 载 为 数组 ， 将 每 个 扩展 的 属性 存储 为 所 需 的 字符 串 。 现 在 只 需 
要 处 理 数组 的 每 个 成 员 。 

然后 提取 数组 中 的 每 个 对 象 ， 作 为 Get-Process -ComputerName 参数 的 输入 。 由 于 不 知道 数组 中 有 多 少 台 计算 
机 ， 因 此 可 使 用 Foreach 语句 。 

加 载 一 个 只 有 一 个 值 的 变量 ， 并 将 该 变量 传递 给 Get-Process cmdlet。 因 为 最 初 的 需求 之 一 是 为 每 个 服务 器 创建 一 个 
文本 文件 ， 所 以 需要 将 输出 传递 到 Out-File cmdlet。 为 执行 测试 , 还 需要 在 控制 台 上 列 出 试图 从 中 提取 此 信息 的 每 台 计 算 
机 。 因 此 ， 在 尝试 提取 进程 列表 前 ， 需 要 打印 系统 的 名 称 ， 这 样 就 知道 它 在 哪里 失败 了 。 下 面 是 代码 和 输出 : 

shosts = (Get-ADComputer -Filter *| Select-Object -ExpandProperty DNSHostName) 

Foreach ($hostname in $hosts) 


{ 


Write—-Host $hostname 


Get—Process —ComputerName $hostname |OQut-File c:\$hostname™" Processes.txt"™ 


} 


DEN-—DCO | .Contoso.com 

DEN—Winl6—01.Contoso.com 
DEN—Winl6—02.Contoso.com 

Get—-Process : Couldn't connect to remote machine. 
At ne char:d 
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加 Get—-Process -ComputerName $Hostname |Out-File c:\$Hostname™" Processes.txt ... 
4 0 0 0 

+ CategoryInfo : NotSsSpecifiied: (:) [Get—Process], InvalidOperationException 

+ FullyQualifiedErrorld : System.JInvalidOperationException,Microsoft.PowerShell .Commands. 
GetProcessCommand 


DEN—Winl6—03.contoso.com 

看 起 来 DEN-Win16-02.contoso.com 没有 回应 。 可 对 每 台 机 器 执行 一 个 测试 ， 获 得 一 个 简单 的 布尔 值 ， 该 值 表 示 
是 否 可 以 连接 到 机 器 。 经 过 一 些 搜索 后 ， 应 该 得 到 一 个 带 有 -Quiet 参数 的 Test-Connection cmdlet。 这 将 返回 简单 的 
$True 或 $False。 

这 就 可 以 执行 下 语 句 ,在 一 个 单独 的 文本 文件 中 生成 所 需 的 非 响应 系统 列表 ,该 列表 需要 追加 到 无 响应 列表 中 ， 
这 样 列表 就 不 会 只 包含 最 后 一 个 无 响应 系统 。 代 码 如 下 : 


shosts = (Get-ADComputer -Filter *| Select-OQbject -ExpandProperty DNSHostName) 
Foreach {$hostname in $hosts) 
{ 
Write—-host $hostname 
If (Test—-Connection $hostname ~Quiet) 
{ 
Get-Process -ComputerName $hostname |out-file c:\$hostname™" Processes.txt" 
| 
Else I{ 
shostname+™" doesn't respond™ |Out-File c:\Unresponsive.txt -append 


} 
DEN—DCO J .contoso .com 
DEN—Winl6—01.contoso.com 
DEN—Winl16—02 .contoso .com 
DEN—Winl16—03.contoso .com 


这 非常 好 。 列 表 和 包含 正在 尝试 的 服务 器 。 我 们 知道 DEN-Win16-02.contoso.com 停止 运行 ， 但 没有 抛 出 错误 。 
现在 可 在 文件 夹 中 查看 这 些 文件 是 否 有 效 。 列 表 应 该 如 下 所 示 : 


PS CA> dir * .txt 


Directoryw: C= 


Mode LastWriteTime Length Name 
一 吾 一 一 一 2/15/2017 11:38 AM 12164 DEN-DC07 .Contoso .Com Processes.txt 
一 如 一 一 一 2/15/72017 11:38 AM 29984 DEN-Winl6-01 .Contoso com Processes.txt 
一 豆 一 一 一 2/15/72017 11:38 AM 21824 DEN-—Winl16-03.contoso.com Processes.txt 
二 = 一 一 二 2/15/2017 11:38 AM 98 Unresponsive.txt 
打开 单个 系统 的 文本 文件 以 查看 内 容 时 ， 就 会 看 到 当前 寻找 的 内 容 ， 为 简洁 起 见 ， 这 里 省 略 了 部 分 内 容 : 
Handles NPM {KFK) PM (K) WS (KEK) VM (M) CEUTS) Id ProcessName 
61 7 2440 11324 74 4016 conhost 
187 11 1560 3720 46 360 casrss 
176 12 1676 32048 97 424 csrss 


打开 Unresponsive.txt， 其 内 容 如 下 : 
DEN—Winl6-02.contoso.com doesn't respond 


这 正好 符合 前 述 要 求 。 


2.15 ”通过 PowerShell 管理 远程 系统 


PowerShell 提供 了 一 种 方法 ， 来 管理 数 千 个 系统 ， 以 执行 数 千 项 不 同 任务 。 到 目前 为 止 ， 我 们 都 在 本 地 系统 上 
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执行 操作 。 但 通 第 需要 连接 到 远程 系统 。 
默认 情况 下 ,远程 PowerShell 访问 会 锁定 系统 。 局 用 访问 的 方式 取决 于 目标 系统 是 活动 目录 域 的 一 部 分 还 是 仅 
在 工作 组 中 。 下 面 首先 研究 域 连接 的 系统 。 


2.15.1 使 用 Enable-PSRemoting 


必须 以 管理 员 身 份 运行 PowerShell。PowerShell 依赖 于 WinRM 服务 。 确 保 将 服务 设置 为 目 动 司 动 非常 重要 。 
还 需要 创建 防火 墙 规则 ， 人 允许 PowerShell 连接 到 系统 。 圣 运 的 是 ， 微 软 可 通过 一 个 命令 轻松 地 完成 这 两 项 操作 : 

Enable—PSRemoting ~Force 

这 个 命令 运行 Set-WSManQuickConfig cmdlet。 该 cmdlet 负责 启动 服 务 ， 将 局 动 改 为 自动 局 动 ， 并 局 用 防火 墙 
异 弟 。 下 面 是 它 完成 的 其 他 操作 : 

(1) 创建 一 个 侦 听 器 ， 接 收 来 目 任何 IP 地 址 的 请 求 。 

(2) 注册 Microsoft.PowerShell 和 Microsoft.PowerShell.WorkFlow 会 话 配 置 。 

(3) 在 64 位 计算 机 上 注册 Microsoft.PowerShell32 会 话 配 置 。 

(4) 局 用 所 有 会 话 配置 。 

(5) 更 改 所 有 会 话 配 置 上 的 安全 描述 符 ， 以 允许 远程 访问 。 

(6) 最 后 ， 重 新 启动 WinRM 服务 ， 以 使 所 有 配置 更 改 生效 。 

Enable-PSRemoting 有 几 个 选项 。 由 于 Enable-PSRemoting 开始 侦 听 服务 ， 因 此 通常 不 希望 在 仅 用 于 发 送 命 令 的 
系统 上 运行 Enable-PSRemoting。 如 果 系 统 不 用 于 接收 远程 PowerShell 连接 ， 就 不 希望 服务 侦 听 它 。 

如 果 想 禁用 PSRemoting， 则 应 该 使 用 以 下 命令 : 


Disable-PSsRemoting Force 


不 要 让 PowerShell 2.0 毁 了 我 们 的 工作 成 果 
如 果 PowerShell 2.0 安装 在 系统 上 ， 就 不 要 在 PowerShell 2.0 中 运行 Enable-PSRemoting， 因 为 这 是 无 效 的 ， 而 
且 很 难 修 复 。 它 看 起 来 配置 正确 ， 但 无 法 连接 ， 而 且 很 难 删 除 和 纠正 配置 。 


2.15.2 ”远程 连接 到 工作 组 服务 怖 

如 有 果 目 标 服 务 器 不 是 域 连接 的 ， 则 需要 在 目标 系统 和 用 于 运行 控制 台 的 系统 上 运行 Enable-PSRemoting。 还 需 
要 为 WsMan 配置 tustedhosts 设置 。 为 此 ， 使 用 以 下 命令 : 

Set—Item WsMan: \localhost\client\trustedhosts * 

这 将 允许 连接 任何 系统 。 用 户 仍 然 需 要 在 托管 计算 机 上 具有 本 地 管理 员 任 证 。 如 果 希 望 限 制 管 理 计 算 机 ， 可 将 
* 蔡 换 为 用 逗号 分 隔 的 卫 地 址 列表 或 用 于 管理 这 个 远程 系统 的 可 信 系 统 主机 名 。 

更 改 配置 后 ， 需 要 重新 启动 WinRM 服务 。 这 可 通过 以 下 方法 来 实现 : 

Restart—-Service WinRM 

需要 在 本 地 系统 和 远程 系统 上 运行 这 个 命令 。 可 以 使 用 如 下 命令 测试 一 下 ， 看 看 是 否 有 交互 : 

Test-WsMan Server0é6.contoso.com 

当然 ， 需 要 将 示例 中 使 用 的 计算 机 名 称 蔡 换 为 实际 名 称 。 这 个 命令 测试 WinRM 服务 是 否 正 在 运行 ， 然 后 显示 
MS-Management 标识 模式 、 协 议 版 本 、 产 品 供应 商 和 产品 版 本 。 


2.15.3 ”在 远程 系统 上 运行 PowerShell 命令 
如 果 想 在 远程 计算 机 上 启动 交互 式 会 话 ， 请 使 用 以 下 方法 。 
Enter—-PSSession Serverly.contoso.com 
可 以 使 用 计算 机 名 称 或 PP 地址。 此 cmdlet 会 更 改 提示 ， 以 反映 远程 系统 ， 如 下 所 示 : 


PS C:\Users\Administrator> Enter-PSSession 10.102.50.50 
[10.102.50.50]: PS C:\Users\Administrator\Documents> 
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使 用 的 任何 命令 都 在 远程 系统 上 执行 。 任 何 显示 到 控制 台 的 输出 (包括 错误 ) 都 在 本 地 显示 。 要 退出 会 话 ， 请 使 
用 以 下 命令 : 

Exit—PSSession 

不 是 所 有 cmdlet 都 需要 有 远程 会 话 。 要 找到 不 需要 会 话 的 cmdlet 列表 ， 可 使 用 以 下 方法 : 


Get—-Command | where {$PSItem.Parameters.Keys -Contains "Computername" ~and $PSItem.Parameters. 
Keys -NotContalns "Sesslion"} 


这 会 提供 一 个 命令 列表 ， 这 些 命 令 有 -Computername 参数 ， 但 没有 -Session 参数 。 这 些 命令 不 需要 运行 WinRM 
服务 。 它 们 不 需要 配置 为 PowerShell 远程 ， 也 不 需要 匹配 远程 系统 需求 。 

如 果 需 要 运行 具备 远程 控制 能 力 的 单个 命令 ， 可 以 使 用 Invoke-Command cmdlet， 如 下 所 示 : 

Invoke~—Command ~Computername ServerlL2 .contoso .com —ScriptBlock {Get-ChildItem C:\} 

脚本 块 只 是 语句 列表 ， 非 常 类 似 于 函数 。 它 可 以 接收 参数 。 与 函数 不 同 ， 脚 本 块 的 参数 必须 包含 在 大 括号 中 。 
脚本 块 还 支持 Begin、Process 和 End 关键 字 。 

这 些 Invoke-Command cmdlet 用 来 给 一 台 或 多 台 计 算 机 发 送 cmdlet。 如 果 要 将 命令 发 送 到 多 台 计 算 机 ， 只 需要 
将 计算 机 名 称 或 IP 地 址 用 逗号 分 隔 ， 以 蔡 代 单个 计算 机 名 称 。 连 接 持续 的 时 间 只 需要 足以 保证 发 送 命令 并 接收 返 
回 的 任何 输出 即 可 。 

2.15.4 在 远程 计算 机 上 运行 远程 脚本 

如 果 硕 望 运行 的 脚本 驻 留 在 会 话 的 所 有 远程 计算 机 上 ， 可 使 用 -FilePath 参数 。 下 面 是 一 个 例子 : 

Invoke—Command ~ComputerName Server0l, Server02, LocalHost ~FilePath 

C:\scriptstorage \myscript.psl 

在 每 台 机 器 上 ， 脚 本 都 需要 位 于 相同 的 位 置 ， 具 有 相同 的 名 称 。 可 将 脚本 路 径 和 名 称 存储 在 变量 中 。 然 后 ， 可 
使 用 变量 传递 文件 路 径 ， 而 不 是 使 用 字面 路 径 。 

要 中 断 远 程 命令 ， 请 按 Ctrl+C。 中 断 命令 将 被 上 用 送 到 远程 计算 机 。 


2.15.5 ”建立 持久 的 远程 连接 


如 果 希 望 运行 一 系列 命令 ， 并 希望 在 这 些 命令 之 间 共 至 数据 ， 则 需要 建立 持久 的 会 话 。 为 此 使 用 调用 命令 的 
-Session 参数 ， 如 下 所 示 : 

smySession = New-PSSsession -ComputerName Server01，Server02，Server03 

该 命令 创建 到 三 个 服务 器 的 持久 远程 连接 ， 并 将 PSSession 保存 到 变量 $mySession 中 。 可 以 使 用 这 个 变量 同时 
加 所 有 系统 发 送 相同 的 命令 。 如 果 使 用 变量 ， 这 些 变量 在 所 有 会 话 中 都 是 相同 的 。 这 将 便于 传递 和 使 用 变量 ， 而 不 
必 考 虑 变量 是 否 存 在 于 远程 会 话 中 。 下 面 是 一 个 例子 : 

Invoke—Command Session S$mySesssion 一 ScriptBLock {$services = Get-Services} 

这 段 代码 使 用 表面 创建 的 gmySession 变量 , 将 脚本 块 的 内 容 友 送 到 每 侣 机器。 这 将 生成 每 个 计算 机 上 所 有 服务 
的 列表 。 每 个 系统 的 服务 都 存储 在 该 机 器 上 名 为 $services 的 变量 中 。 如 果 想 使 用 这 些 服 务 的 列表 执行 额外 的 操作 (可 
能 使 用 While、Switch、If 或 Elseif 语句 )， 束 可 将 单个 会 话 定 同 到 单个 服务 器 ， 或 者 使 用 此 变量 对 所 有 服务 器 执 行 
相同 的 命令 。 还 可 以 使 用 其 他 变量 来 标识 其 他 服务 右 ， 从 而 允许 选择 性 地 调用 命令 ， 而 不 必 陷 入 跟踪 各 种 会 话 的 泥 
潭 ， 也 不 必 处 理 与 这 些 远 程 机 器 上 预期 名 称 不 匹配 的 不 同 变量 。 

因为 这 是 一 个 持久 连接 ， 所 以 可 针对 这 些 系统 运行 额外 命令 ， 为 每 个 会 话 创 建 的 任何 变量 或 数据 都 是 可 用 的 ， 
直到 断 开 与 会 话 的 连接 为 止 。 如 果 和 希望 包含 本 地 系统 ， 可 在 -Session 参数 中 使 用 点 (.) 或 词语 LocalHost。 


2.15.6 使 用 PowerShell Direct 


PowerShell Direct 用 于 在 主机 系统 中 管理 Hyper-V 虚拟 机 。Hyper-V 主机 和 客户 机 器 需要 运行 Windows 10 
或 Windows Server 2016。 主 机 和 客户 机 的 操作 系统 不 需要 有 网 络 连 接 、 配 置 甚至 网 络 适 配器 。 必 须 以 管理 员 
号 份 登录 Hyper-V 主机 ， 并 在 虚拟 机 上 拥有 用 户 任 证。 虚拟 机 需要 位 于 Hyper-V 服务 器 本 地 ， 并 且 需 要 引导 。 
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命令 如 下 : 

Enter-PSSession -VMName Server01.contos .com 

这 是 与 虚拟 机 的 直接 交互 会 话 。 还 可 以 使 用 GUID， 方 法 是 将 -VMName 蔡 换 为 -VMGUID， 然 后 输入 虚拟 机 的 
GUID， 而 不 是 计算 机 名 称 。 

然后 ， 与 虚拟 机 进行 交互 会 话 。 要 退出 会 话 ， 请 执行 以 下 操作 : 

Exit-PSSession 

可 在 虚拟 机 上 运行 脚本 块 和 脚本 ， 这 与 处 理 常 规 PSSessions 的 方式 基本 相同 。 只 需要 将 -Computername 参数 葵 
换 为 -VMName 参数 ， 如 下 所 示 : 


Invoke—Command VMName Server0l -FilePath C:\scriptstorage\myscript.psl 
Invoke~Command VMName Serverl2 -ScriptBlock {Get-ChildItem C:\]} 


2.16 ”本草 要 点 


定制 PowerShell 和 PowerShell ISE 环境 。Microsoft PowerShell 和 PowerShell ISE 是 创建 和 管理 Windows 
Server 2016 系统 的 极 佳 环境 。 将 适当 的 模块 、 函 数 、 变 量 和 配置 设置 预 加 载 到 配置 文件 中 ， 可 加 快 开 发 过 程 。 我 们 
希望 所 有 一 切 都 正确 设置 ， 以 帮助 优化 工作 流程 。 
问题 我们 刚 安装 了 Windows Server 2016 系统 ， 需 要 目 定 义 Windows PowerShell， 这 样 它 就 会 目 动 以 Run As 
Administrator 模式 运行 。 还 需要 确定 哪些 模块 的 帮助 文件 可 目 动 在 线 更 新 。 最 后 ， 需 要 在 一 个 名 为 
C:\PowerShellTranscript 的 文本 文件 中 局 动 当前 PowerShell 会 话 的 副本 。 退 出 会 话 时 将 关闭 该 文本 文件 。 
答案 ”以 管理 员 身 份 运 行 PowerShell。 为 此 ， 可 右 击 PowerShell 图 标 ， 并 选择 Run As Administrator。 然 后 
修改 配置 文件 ， 以 包含 如 下 代码 : 
Function Open~AsAdmin {Start-Process PowerShell -Verb RunAsl]} 
使 用 如 下 命令 识别 可 在 线 更 新 的 模块 : 
Get-Module -ListAvailable |Where HelpInfoURI 
使 用 如 下 命令 启动 副本 。 结 束 会 话 时 ， 会 结束 该 副本 
Start—Transcript C:\PowerShellTranscript.txt 
执行 命令 发 现 以 及 解释 PowerShell 语法 符号 和 概念 文档 。 通 常 ， 需 要 用 有 限 的 文档 创建 PowerShell 配置 。 当 
指南 文档 很 难 找 到 时 ， 需 要 掌 握 命令 发 现 的 技能 。 
问题 找到 PowerShell 命令 , 该 命令 将 创建 一 个 格式 化 的 列表 ,其 中 只 包含 本 地 服务 器 上 所 有 网 络 适配器 
的 网 络 接 口 别名 和 他 地 址 。 命令 应 该 将 列表 保存 到 C:\Networkadapters .txt 中 。 
答案 ”使 用 Get-Command -Noun *IpAddress* 查 找 包 含 IP 地 址 的 命令 。 使 用 Get-NetIpaddress | 壬 查找 所 有 
参数 ， 把 它们 装配 到 Get-NetIpaddress| fl InterfaceAlias, IpAddress > C:\Networkadapters.txt 中 ， 创 建文 本 文 
件 ， 其 中 列 出 所 有 接口 名 称 和 分 配 的 他 地 址 。 
编写 和 分 析 支 持 函 数 、 循 环 、 比 较 、 管 道 处 理 、 变 量 、 脚 本 的 代码 。 创 建 有 用 的 脚本 有 许多 构建 块 。 我 们 经 常 
需要 使 用 各 种 组 件 组 装 肢 本， 以 生成 有 用 的 输出 。 开 发 创建 新 基本 脚本 的 技能 至 关 重 要 。 在 生产 环境 中 运行 外 部 脚 
本 之 前 ， 需 要 经 常 阅读 和 理解 它们 。 
问题 定位 域 中 的 所 有 系统 ， 创 建 一 个 Web 页 面 ， 该 页 面 列 出 运行 中 的 每 台 机 器 上 所 有 已 安装 的 Hotfix。 
每 个 机 器 都 有 一 个 Web 页 面 。 显示 Hotfix ID 和 安装 每 个 Hotfix 的 时 间 。 创建 一 个 单独 的 Web 页 面 ， 列 出 
所 有 不 啊 应 探测 的 机 器 。 
答案 
shosts = (Get-ADComputer -Filter *| Select-Object -ExpandProperty DNSHostName) 
foreach ($hostname in S$Hosts) 
If (Test-Connection $hostname Quiet) 


{ 
Get—-Hotfix -ComputerName $hostname |Select-Object Hotfixid,installedon|convertto— 
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html -Fracdment|out-file c:\$hostname™" Hotfixes.html"™" 
} 
Else I 
shostname+" doesn't Tespond" |Out-File c:\Unresponsive.html] -append 


' 
} 
使 用 PowerShell 管理 远程 服务 侨 。 我 们 经 党 需要 将 相同 的 命令 发 送 到 多 台 计 算 机 。 其 中 许多 命令 都 需要 区 互 
式 会 话 ， 并 使 用 凭证 。 
问题 “需要 在 整个 域 的 所 有 运行 的 服务 器 上 禁用 SMB 版 本 1。 使 用 一 个 脚本 在 域 中 定位 运行 WinRM 服务 
的 所 有 主机 。 打 开 所 有 这 些 服 务 器 上 的 交互 式 会 话 ， 并 禁用 SMB1 协议 。 这 不 需要 确认 。 
答案 


shosts = (Get-ADComputer -Filter *| Select-Object -ExpandProperty DNSHostName) 
foreach ($hostname in S$Hosts) 


| 
If (Test-Connection 5hostname -OUuiet) 
{ 
If ((Get-Service -Computername 5hostname "winrm"|Select-Object ~expandproperty 
Status) -eq "Running”™) 
{ 
Invoke—Command -ComputerName $hostname 一 ScriptBLock {Set-SmbserverConfiqguration 
-EnablesMB1lProtocol 
SsFalse -Forcel} 
} 
) 


计算 


Windows Server 的 计算 能 力 在 每 个 新 版 本 中 都 有 质 的 提升 ， 最 新 版 本 显著 地 提高 了 性 能 ， 文 持 更 多 CPU 和 内 
存 容量 ， 如 果 将 虚拟 机 用 作 Hyper-V 虚拟 化 主机 ， 还 增加 了 虚拟 机 的 数量 ， 提 高 了 能 源 效 率 。 

从 Windows Server 2012 开始 ， 它 也 被 命名 为 云 操作 系统 ， 这 意味 着 Windows Server 计算 能 力 允 许 组 织 在 云 解 
决 方案 上 部 署 不 同 的 场景 ， 包 括 私有 云 、 混 合 云 和 公共 云 。Windows Server 2016 的 设计 主旨 是 可 扩展 和 强大 的 系统 ， 
可 以 适应 任何 组 织 和 任何 场景 ， 文 持 各 种 解决 方案 。 它 可 以 是 虚拟 化 主机 、 文 持 不 同 高 可 用 性 需求 的 集群 解决 方案 、 
针对 不 同 Microsoft 或 第 三 方 应 用 程序 的 操作 系统 , 支持 扩大 和 外 扩 配 置 以 提高 应 用 程序 性 能 。 第 7 章 还 将 介绍 Windows 
Server 容器 ， 这 是 一 种 新 的 虚拟 化 技术 。 


本 章 内 容 包括 : 

es 使 用 Windows Server 作为 Hyper - V 虚拟 主机 

se 实现 虚拟 化 解决 方案 

e 针对 在 VM 环境 中 运行 的 特定 产品 ， 定 制 Hyper-V 解决 方案 
es 高 可 用 性 部 署 场景 与 Windows 故障 转移 集群 功能 


3.1 Hyper -V 概述 


Hyper-V 是 Windows Server 2016 中 可 用 作 上 服务 器 角色 的 监控 程序 虚拟 化 技术 (参见 图 3.1)。 人 硬件 虚拟 化 允许 组 
织 将 一 台 物 理 计 算 机 的 硬件 能 力 用 于 运行 不 同 操作 系统 和 应 用 程序 的 多 个 虚拟 机 。 每 个 虚拟 机 中 的 操作 系统 都 运行 
在 一 个 完全 隔离 的 环境 中 ， 该 环境 独立 于 其 他 虚拟 机 和 物理 计算 机 上 运行 的 操作 系统 ， 也 称 为 Hyper-V 主机 。 

在 虚拟 机 中 运行 的 操作 系统 称 为 客户 操作 系统 。 
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图 3.1 Hyper-V 体系 结构 
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3.2 Windows Server 2016 Hyper-V 中 的 新 内 容 


Hyper-V 是 在 Windows Server 2008 中 引入 的 , 在 以 后 的 每 个 操作 系统 版 本 中 都 使 用 多 种 新 技术 进行 改进 , 包括 
R2 版 本 。 表 3.1 描述 了 Windows Server 2016 中 Hyper-V 角色 的 新 功能 。 


功 能 
衣 套 的 虚拟 化 
Hyper-V 集群 滚动 
升级 


PowersShell Direct 


虚拟 机 屏蔽 

局 动 顺序 优先 级 
存储 的 服务 质量 
(QoS) 

主机 资源 保护 
Hyper-V Manager 


功能 


表 3.1 Windows Server 2016 Hyper-V 中 的 新 功能 
说 明 

该 功能 允许 在 运行 Windows Server 2016 的 虚拟 机 中 启用 Hyper-V 服务 器 角色 
如 果 组 织 运行 的 是 Windows Server 2012 R2 Hyper-V 集群 ， 现 在 就 可 将 其 升级 到 Windows Server 
2016， 方 法 是 疝 现 有 集群 添加 节 上 把， 然后 在 共存 期 间 在 运行 Windows Server 2012 R2 的 节点 和 
Windows Server 2016 的 节点 之 间 移 动 虚 拟 机 
该 功能 允许 在 Hyper-V 主机 的 虚拟 机 上 运行 Windows PowerShell cmdlet， 而 不 必 在 主机 上 配置 到 虚 
拟 机 的 网 络 连 接 
该 功能 加 密 了 整个 虚拟 机 
该 功能 确定 了 在 重新 启动 主机 后 虚拟 机 的 特定 局 动 顺序 
该 功能 提供 了 在 外 扩 文 件 服务 器 (Scale-Out File Server，SOFS) 上 配置 存储 QoS(Quality ofService) 策 
略 的 功能 ， 从 而 保证 了 一 定 的 存储 吞吐 量 
该 功能 防止 虚拟 机 使 用 Hyper-V 主机 上 的 所 有 资源 ， 以 便 其 他 虚拟 机 拥有 足够 的 资源 
Hyper-V Manager 允许 连接 到 Hyper-V 主机 时 使 用 其 他 凭证 。 此 外 ， 它 使 用 基于 HTTP 的 Web Services- 
Management(WS-MAN) 进 行 管理 


除了 主机 级 别 的 改进 外 ，Hyper-V 还 有 用 于 虚拟 机 的 新 特性 ， 如 表 3.2 所 示 。 


表 3.2 Hyper-V 用 于 虚拟 机 的 新 特性 


功 能 说 明 
网 络 适 配器 和 内 存 的 热 添 
0 网 络 适 配器 和 虚拟 内 存 可 添加 到 正在 运行 的 虚拟 机 中 
加 或 删除 
内 存 和 处 理 器 容量 的 改进 虚拟 机 现在 支持 多 达 12TB 的 内 存 和 240 个 虚拟 处 理 器 
通过 Windows 更 新 提供 上 
ineows 更 和 二 和] | 通过 Windows 更 新 部 署 最 新 版 本 的 集成 服务 ， 从 而 简化 管理 
集成 服务 
密 钥 存储 驱动 器 允许 第 1 代 虚 拟 机 存储 BitLocker 驱动 器 加 密 密 钥 
Linux 安全 引导 在 引导 过 程 中 验证 文件 上 的 数字 签名 ， 以 防止 Linux 虚拟 机 上 的 恶意 软件 
生产 检查 点 在 创建 检查 点 时 ， 为 受 交 持 的 应 用 程序 提供 一 致 的 状态 
虚拟 机 配置 文件 的 格式 虚拟 机 配置 文件 是 用 二 进 制 格 式 ( 而 不 是 以 前 的 XML 格式 ) 编 写 的 
离散 设 各 分配 为 Db 了 yp 主机 中 PCIe (Peripheral Component Interconnect Express, 外 围 装 置 
互 连 高 速 ) 设 备 的 直接 访问 
虚拟 机 配置 版 本 从 Windows Server 2012 R2 迁移 过 来 的 虚拟 机 (如 在 集群 滚动 升级 期 间 ) 通 过 保留 版 本 5 提供 了 


辣 后 兼容 性 ， 而 不 是 升级 到 版 本 8 


3.3 ”安装 Hyper-V 


可 在 Server Manager 或 Windows PowerShell 中 安装 Hyper-V 服务 器 角色 。 在 开始 安装 之 前 ,主机 必须 满足 几 个 
硬件 先决 条 件 。 这 些 先 决 条 件 包括 : 

令 一 个 64 位 的 处 理 器 与 二 级 地 址 转换 (SLAT) 

全 ”和 带 有 VM Monitor Mode 扩展 的 处 理 器 
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令 至少 4GB 的 内 存 
令 ”支持 英特尔 虚拟 化 技术 (Intel VT) 或 AMD 虚拟 化 (AMD-V) 
争 ”启用 硬件 的 Data Execution Prevention (DEP)( 英 特 尔 XD 位 ，AMD NX 位 ) 
当然 ， 还 应 该 确保 HyperV 主机 具有 足够 的 虚拟 机 硬件 资源 ， 包 括 足 够 的 物理 处 理 器 内 核 、 物 理 内 存 (RAMD)、 
存储 空间 和 网 络 吞 吐 量 。 在 购买 HyperV 主机 之 前 评估 硬件 资源 的 设计 过 程 ， 对 于 成 功 部 普 虚 拟 化 解决 方案 非常 天 
键 ， 这 样 所 有 虚拟 机 都 有 足够 的 资源 。 此 外 ， 还 应 该 计划 额外 的 资源 ， 以 防 某 些 虚拟 机 由 于 使 用 的 资源 增加 或 解决 
方案 的 扩展 ， 而 需要 更 多 的 虚拟 处 理 器 内核、 内 存 或 存储 空间 。 
因为 Hyper-V 是 一 个 服务 器 角色 ， 所 以 要 添加 它 ， 可 启动 Add Roles and Features Wizard， 选 择 Hyper-V 服务 器 
角色 ( 见 图 3.2)， 安 装 管理 Hyper-V 角色 所 需 的 特性 。 
Select one or more roles to install on the selected server. 
Roles Description 


L] Active Directory Certificate Services Hyper-V provides the services that 
L_ | Active Directory Domain Services you can use to create and manage 


|] Metrve Directory Federatian Services virtual machines and their 由 
| Active Directory Lightweight Directory Services Each virtual machine is a virtualized 
[L Actve Directory Rights Management >ervICes | | 
|_ | Device Health Attestation solated execution environment, This 
LL] DHCP Server allows you to run multiple operating 
L_ |] DNS Server systems simultaneously. 


computer system that operates Im an 


L_ | Fax Server 

(| File and Storage Services (1 of 12 installed) 
[ ] Host Guardian Service 

[|] MultiPoint Services 

| | Network Controller 

[ ] Network Policy and Access Services 
|_ | Print and Document Services 

[|] Remote Access 

| Remote Desktop Services 

[ ] Volume Activation Services 

| | Web Server (IIS) 


图 3.2 ”安装 Hyper-V 


接 下 来 进入 Create Virtual Switch 页 面 ， 在 这 里 可 从 主机 服务 器 上 选择 至 少 一 个 物理 网 络 适 配器 。 然 后 ， 需 要 选 
择 是 否 人 允许 发 送 和 接收 实时 迁移 。 这 个 选项 可 在 稍 后 配置 ; 如 果 主 机 是 集群 成 员 , 则 应 该 在 集群 创建 后 选择 此 选项 。 
在 该 回 导 的 最 后 ， 应 该 选择 一 个 默认 位 置 ， 来 存储 虚拟 硬盘 文件 和 虚拟 机 配置 文件 ， 稍 后 可 编辑 这 些 文 件 。 完 成 回 
导 后 ， 应 该 重新 局 动物 理 主 机 。 

为 使 用 Windows PowerShell 安装 Hyper-V， 运 行 以 下 命令 ; 


Install-WindowsFeature -Name Hyper-V -ComputerName <computer name> 一 
IncludeManagementTools Restart 


3.4 ” 藤 套 的 虚拟 化 


Windows Server 2016 引入 了 将 Hyper-V 部 罩 到 虚拟 机 的 功能 ， 允许 在 Hyper-V 虚拟 机 中 托管 虚拟 机 ; 这 种 技术 
称 为 散 套 虚拟 化 ( 见 图 3.3)。 峰 套 虚 拟 化 作为 实验 室 环境 用 于 评估 、 测试 、 开 发 ， 以 及 提供 概念 证 明 。 它 不 应 该 用 于 
生产 。 在 为 虚拟 机 配置 般 套 虚拟 化 之 前 , 应 该 为 虚拟 机 处 理 器 局 用 虚拟 化 扩展 。 例如 , 在 用 作 虚 拟 化 主机 VirtualHost 
的 虚拟 机 中 ， 可 运行 以 下 命令 : 

Set—VMProcessor -VMName VirtualHost -ExposeVirtualizationExtensions $true 

嵌 套 的 客户 虚拟 机 的 另 一 个 要 求 是， 在 配置 为 HyperV 主机 的 虚拟 机 上 启用 MAC 地 址 欺骗 ， 以 便 嵌 套 的 虚拟 
机 能 在 外 部 网 络 上 进行 通信 。 此 外 , 藤 套 虚拟 化 要 求 虚 拟 机 的 配置 版 本 为 8.0。 注意 , 操作 系统 Windows Server 2016 
和 Windows 10 Anniversary Update 或 更 新 版 本 文 持 配置 版 本 8.0。 

一 旦 满足 了 先决 条 件 ， 就 可 在 虚拟 机 上 安装 Hyper-V， 像 安装 Hyper-V 主机 一 样 。 然 而 ， 有 些 Hyper-V 特性 在 
能 套 虚 拟 化 中 无 法 工作 ， 包 括 基 于 虚拟 化 的 安全 性 、 设 备 保护 、 动 态 内 存 、 热 添加 静态 内 人 存 、 检 查 点 、 实 时 迁移 以 
及 Save 或 Restore 状态 。 
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图 3.3 髓 套 虚拟 化 


3.5 Hyper-V 中 的 存储 选项 


虚拟 机 使 用 虚拟 硬盘 进行 存储 。 可 用 分 区 夹 配置 
制 台 或 New-VHD PowerShell cmdlet 创建 虚拟 硬盘 。 

Hyper-V 在 Windows Server 2008 中 引入 ， 当 时 虚拟 磁盘 的 文件 格式 是 VHD。 然 而， 这 个 虚拟 硬盘 的 大 小 限制 
为 2TB。Windows Server 2012 为 虚拟 人 硬盘 引入 了 新 的 VHDX 格式 ， 它 提供 了 许多 改进 ， 包 括 更 大 的 尺寸 (64 TB)、 
抗 损 的 健壮 文件 结构 、 更 大 的 块 大 小 、 动态 扩展 以 及 区 分 磁盘 , 以 获得 更 好 性 能 。 Windows Server 2016 引入 了 VHDS 
格式 ， 用 于 虚拟 人 硬盘 ， 多 个 虚拟 机 可 以 同时 访问 ， 通 过 集群 实现 高 可 用 性 。 

注意 : 在 撰写 本 文 时 ，Microsoft Azure 并 不 支持 虚拟 硬盘 的 VHDX 格式 。 


3.5.1 虚拟 硬盘 类 型 


在 创建 虚拟 硬盘 时 ， 可 选择 不 同 的 类 型 和 格式 。 所 选 的 硬盘 类 型 因 需 求 和 支持 而 寞 。 虚 拟 便 盘 类 型 包括 : 

固定 大 小 : 虚拟 硬盘 立即 分 配 所 有 指定 的 空间 。 

动态 扩展 : 虚拟 硬盘 根据 需要 分 配 空间 。 具 有 VHDX 格式 的 磁盘 也 可 动态 收缩 ;然而 ， 当 虚拟 机 被 关闭 时 ， 
会 出 现 收 缩 。 

直通 : 提供 对 物理 磁盘 的 直接 访问 。 

差分 : 虚拟 硬盘 可 配置 为 将 数据 存储 在 两 个 文件 中 : 父 磁 盘 和 兰 分 磁盘 ， 当 数据 与 父 磁盘 相 比 发 生变 化 时 ， 就 
存储 在 差分 磁盘 中 。 这 类 磁盘 减少 了 用 于 测试 和 评估 的 物理 仔 储 器 的 数量 。 


3.5.2 ”虚拟 硬盘 推荐 


在 决定 使 用 哪 种 类 型 的 虚拟 磁盘 时 ， 应 该 亩 先 阅读 要 部 四 在 虚拟 机 中 的 特定 产品 的 建议 ， 如 Exchange Server、 
Skype for Business Server 或 域 控 制 器 。 菏 些 类 型 的 虚拟 硬盘 在 特定 产品 中 不 文 持 , 例如 Exchange Server 的 甘 分 磁盘 。 

如 果 虚 拟 磁 盘 必 须 与 运行 在 Windows Server 2008 或 Windows Server 2008 R2 上 的 旧 虚 拟 化 技术 兼容 , 则 应 使 用 
VHD 格式 ; 否则 ， 应 该 使 用 VHDX 格式 。 

如 果 连 接 多 个 差分 磁盘 ， 就 应 该 预料 到 性 能 会 下 降 。 小 心 不 要 修改 父 虚拟 硬盘 ; 否则 ， 差 分 磁盘 将 不 再 有 效 。 

现在 ， 可 将 至 多 四 个 Hyper-V Fibre Channel 虚拟 硬件 组 件 加 到 虚拟 机 中 ， 这 样 ， 虚 拟 机 就 能 访问 存储 区 域 网 络 


虚拟 磁盘 ， 并 存储 文件 和 文件 来 。 可 通过 Hyper-V Manager 控 
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(SAN) 上 的 Fibre Channel 存储 器 。 

虚拟 硬盘 应 该 位 于 高 性 能 存储 区 。 此 外 ， 和 存储器 应 该 是 有 元 余 的 ， 这 样 存储 解决 方案 束 不 会 成 为 一 个 故障 点 。 
即使 某 些 物理 硬盘 出 现 故 障 或 被 葵 换 ， 虚 拟 机 也 应 该 继续 工作 。 

Hyper-V 文 持 存储 虚拟 机 数据 SMB 3.0 文件 共享 。 尽 管 对 于 某 些 组 织 来 说 ， 该 功能 很 方便 ， 但 该 功能 仅 限于 
Windows Server 2012 或 更 新 的 操作 系统 。 


3.6 ”配置 Hyper-V 


一 旦 安装 了 Hyper-V 服务 器 角色 ， 就 需要 在 Hyper-V 主机 和 Hyper-V 客户 服务 器 上 配置 多 个 设置 。 例如， 需要 
配置 磁盘 存储 器 的 类 型 和 虚拟 磁盘 文件 所 在 的 路 径 ， 分 配给 每 个 虚拟 机 的 内 存量 ， 处 理 器 的 数目 ， 人 允许 虚拟 机 相互 
通信 的 网 络 参 数 ， 和 物理 网 络 上 的 服务 器 相互 通信 的 网 络 参 数 。 每 个 设置 都 应 该 仔细 配置 ， 以 便 为 在 虚拟 机 上 运行 
的 解决 方案 提供 最 佳 性 能 。 因此, 关于 在 虚拟 机 上 运行 时 如 何 配置 , 每 个 产品 (例如 域 控制 器 、Exchange Server、 Skype 
for Business ServeD 都 有 目 己 的 建议 以 及 文 持 的 场景 。 


3.6.1 Hyper-V 网 络 


与 物理 机 器 一 样 ， 虚 拟 机 使 用 网 络 资源 与 其 他 计算 机 、 设 备 、 内 部 组 织 网 络 和 Internet 通信 。 虚 拟 交 换 机 配置 
了 虚拟 机 中 的 网 络 设置 。 虚 拟 交 换 机 控制 着 Hyper-V 服务 器 上 的 虚拟 机 和 组 织 网 络 其 余部 分 之 间 的 网 络 通信 流 。 使 
用 Virtual Switch Manager 可 创建 三 种 虚拟 交换 机 外部、 内 部 和 私有 。 
令 ”外 部 虚拟 交换 机 将 网 络 映 射 到 Hyper-V 主机 上 的 特定 网 络 适配器 ， 该 适配器 允许 虚拟 机 访问 连接 主机 的 网 络 。 
令 ”内 部 虚拟 交换 机 用 于 Hyper-V 主机 上 的 虚拟 机 之 间 以 及 虚拟 机 与 Hyper-V 主机 之 间 的 通信 。 
售 “” 私有 虚拟 交换 机 仅 用 于 Hyper-V 主机 上 虚拟 机 之 间 的 通信 。 
在 配置 外 部 或 内 部 虚拟 网 络 时 ， 还 可 配置 其 他 网 络 特性 ， 包 括 : 
可 配置 一 个 VLAN ID， 来 划分 网 络 流量 。 
虚拟 网 络 应 提供 足够 的 珊 宽 ， 以 确保 虚拟 机 的 性 能 最 佳 。 因 此 ， 可 考虑 部 置物 理 网 络 接口 卡 组 合 。 
可 以 配置 市 宽 的 分 配 ， 来 保证 每 个 虚拟 机 都 分 配 了 足够 的 市 宽 。 
文 持 虚 拟 机 队列 (Virtual Machine Queue，VMQ) 的 网 络 适配器 使 用 硬件 包 过 滤 ， 直 接 辐 虚拟 机 交付 网 络 流 
量 ， 提 高 了 性 能 。 
令 ”可 使 用 QoS 保证 虚拟 机 的 最 小 市 宽 。 
令 ”远程 直接 内 存 访问 (Remote Direct Memory Access，RDMAI) 也 称 为 SMB Direct， 是 一 个 需要 网 络 适配器 中 
的 人 硬件 文 持 的 功能 。 和 市 有 RDMA 的 网 络 适配器 ， 在 连接 到 Hyper-V 交换 机 的 网 络 适配器 上 以 低 资 源 利用 
率 全 速 运行 。 
令 ”Windows Server 2016 包括 一 个 新 的 NAT 虚拟 交换 机 类 型 ， 所 以 不 需要 创建 虚拟 机 来 执行 NAT。 


3.6.2 ”Hyper-V 虚拟 机 配置 


每 个 操作 系统 版 本 都 支持 特定 的 虚拟 机 配置 版 本 。 表 3.3 列 出 了 可 在 不 同 版 本 Windows 操作 系统 中 运行 的 虚拟 
机 配置 版 本 。 


oe. 


表 3.3 Hyper - V 虚拟 机 配置 


Windows 版 本 的 Hyper-V 主机 配置 版 本 
Windows Server 2016 8.0,7.1,7.0, 6.2, 5.0 
Windows 10 Anniversary Update 8.0,7.1,7.0, 6.2, 5.0 
Windows 10 build 10565 或 更 新 版 本 7.0, 6.2, 5.0 
早 于 10565 的 Windows 10 构建 版 本 6.2, 5.0 
Windows Server 2012 R2 5.0 


Windows 8.1 3.0 
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要 检查 虚拟 机 的 配置 版 本 ， 请 使 用 以 下 Windows PowerShell 命令 提示 符 : 

Get—VM * | Format-Table Name, Version 

如 果 决 定 更 新 虚拟 机 的 配置 版 本 ， 它 将 被 更 新 到 运行 它 的 Hyper-V 主机 所 文 持 的 最 高 配置 级 别 。 

要 更 新 单个 虚拟 机 的 版 本 ， 可 使 用 以 下 Windows PowerShell 命令 : 

Update—VMVersion <vmname> 

虚拟 机 配置 的 每 个 版 本 都 有 不 同 的 特性 ， 所 以 在 升级 Windows Server 2016 的 配置 版 本 之 前 ， 无 法 使 用 新 的 
Hyper-V 特性 。 

Windows Server 2012 R2 引入 J 一 种 新 型 虚拟 机 , 称 为 第 二 代 虚 拟 机 ,在 Windows Server 2012 和 Windows Server 
2008 R2 Hyper-V 等 平台 上 创建 的 所 有 虚拟 机 都 是 第 一 代 虚 拟 机 。 在 创建 虚拟 机 时 ， 将 选择 第 一 代 或 者 第 二 代 虚 拟 
机 。 因 为 客户 操作 系统 必须 支持 从 UEFI( 而 不 是 BIOS) 引 导 ， 所 以 支持 第 2 代 虚 拟 机 的 只 有 x64 版 本 的 Windows 8 
和 更 新 版 本 ， 以 及 Windows Server 2012 和 更 新 的 客户 操作 系统 。 

Hyper-V 包含 一 个 动态 内 存 特性 ， 人 允许 分 配 可 变数 量 的 内 存 ， 可 选择 从 最 小 值 到 最 大 值 的 内 存量 。 但 有 些 应 用 
程序 (如 Microsoft SQL Server 或 Microsoft Exchange Server) 不 支持 动态 内 存 ， 因 为 它们 利用 可 用 内 存 进行 缓存 ， 以 
优化 性 能 。 


3.6.3 ”虚拟 机 屏 散 


Windows Server 2016 引入 了 屏蔽 的 虚拟 机 ,它们 是 BitLocker 加 密 的 ， 以 便 在 直接 访问 虚拟 硬盘 时 保护 数据 ( 见 
图 3.4 和 。 例 如， 如 果 有 人 复制 了 一 个 虚拟 硬盘 并 将 其 移出 站 点 ， 则 无 法 访问 它 。 解 密 虚 拟 硬 盘 的 密 钥 由 主机 守护 服 
务 (Host Guardian Service，HGS) 控 制 | 。 


和 

这 些 用 户 请 求 在 

主机 上 启动 特定 
的 屏蔽 VM 


主机 守护 服务 组 件 


受 保护 的 主机 


机 守护 服 
务 (HGS) 


3.4 屏蔽 的 虚拟 机 的 体系 结构 


屏蔽 的 虚拟 机 必须 是 包含 虚拟 TPM 的 第 2 代 虚 拟 机 ， 这 意味 看 它 不 需要 服务 器 包含 硬件 TPM。 为 实现 屏蔽 虚 
拟 机 ， 需 要 实现 一 个 受 保护 的 结构 ， 它 需要 主机 监护 服务 。 屏 蔽 虚拟 机 只 能 在 授权 主机 上 局 动 。 
主机 守护 服务 通过 以 下 两 种 方式 授权 主机 : 
令 可 人 和信 Active Directory(AD)。 
* 可 信 Hyper-V 主机 的 计算 机 账户 放 在 Active Directory Domain Services 安全 组 ， 其 配置 比较 简单 ， 但 安 
全 级 别 较 低 。 
令 ”可 信 TPM 身份 验证 。 
* 可 信 Hyper-V 主机 基于 其 TPM 的 身份 获得 批准 , 其 安全 级 别 较 高 , 但 配置 比较 复杂 。 主 机 必须 具有 TPM 
2.0 和 UEIF 2.3.1， 且 启用 了 安全 引导 。 


3.6.4 ”虚拟 机 设置 


Hyper-V 党 理 员 必须 擅长 配置 虚拟 机 ， 这 样 ， 即 使 万 在 公司 决定 虚拟 化 整个 基础 架构 ， 也 能 完成 任务 。 如 果 是 
这 样 ， 几 乎 所 有 的 服务 器 都 需要 虚拟 化 ， 这 需要 经 过 精心 规划 、 部 普 和 管理 。 虚 拟 机 的 设置 包括 以 下 组 件 。 
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令 ”集成 服务 为 客户 操作 系统 提供 了 HyperV 专用 的 设备 驱动 程序 .这 允许 客户 操作 系统 使 用 Hyper-V 提供 的 


虚拟 硬件 。 
令 ”虚拟 机 局 动 时 ， 如 果 需 要 的 内 存 比 主 机 可 分 配 的 内 存 更 多 , 智能 分 页 功能 束 可 以 为 额外 的 临时 内 存 使 用 磁 
盘 分 页 功能 。 


令 ”资源 计量 度量 CPU 和 内 和 存 使 用 量 、 磁 盘 分 配 和 网 络 流量 。 
令 分配 离 散 设 备 人 多 许 客 尸 虚 拟 机 直接 与 PCI Express( 作 为 PCIe) 设 备 通信 。 
倒 Linux 和 FreeBSD 虚拟 机 需要 安全 引导 。 


3.6.5 ”虚拟 机 状态 


虚拟 机 可 以 有 多 种 状态 ， 如 下 所 示 : 

关闭 : 虚拟 机 是 关闭 的 ， 不 使 用 任何 内 存 或 处 理 资 源 。 

局 动 : 虚拟 机 正在 月 动 ， 在 分 配 资源 之 前 验证 这 些 资 源 是 否 可 用 。 

运行 : 虚拟 机 正在 运行 ， 并 使 用 分 配给 它 的 资源 ， 例 如 虚拟 处 理 嚣 、 内 存 、 和 存储 器 和 网 络 服务 。 
暂停 : 暂停 的 虚拟 机 仍然 消耗 内 存 ， 但 它 不 消耗 任何 处 理 资 源 。 

保存 : 保存 的 虚拟 机 不 消耗 任何 资源 。 一 旦 虚拟 机 再 次 启动 ， 就 会 消耗 资源 。 


3.6.6 ”虚拟 机 检查 点 


检查 点 允许 管理 员 对 虚拟 机 制作 时 间 点 快照 。 但 是 ， 这 些 检查 点 可 能 影响 虚拟 机 的 性 能 ， 某 些 应 用 程序 (如 
Exchange Server、SQL Server 和 Skype for Business) 可 能 不 支持 它 。 因 此 , 检查 点 应 该 只 用 于 冯 持 它们 的 服务 器 应 用 
程序 。 

可 在 Virtual Machine Connection 窗口 的 Actions 窗 格 或 Hyper-V Manager 控制 台中 创建 检查 点 。 每 个 虚拟 机 最 
多 有 50 个 检查 点 。 

不 能 使 用 检查 氮 作 为 备份 的 蔡 代 。 由 于 检查 氮 数据 与 虚拟 硬盘 仓储 在 同一 者 中， 如 果 没 有 备份 ， 物 理 磁 盘 将 成 
为 一 个 故障 点 。 

创建 标准 的 检查 点 时 ，Hyper-V 会 创建 一 个 VHD 文件 (差分 磁盘 )， 访 文件 存储 将 检查 点 与 前 一 个 检查 点 或 
父 虚 拟人 硬盘 区 分 开 来 的 数据 。 删 除 标 准 检 查 点 时 ， 这 些 数 据 要 么 被 丢弃， 要么 合并 到 上 一 个 检查 点 或 父 虚 拟 硬 
盘 中 。 

在 应 用 检查 点 后 ， 虚 拟 机 返回 到 创建 检查 点 时 的 状态 。 但 如 前 所 述 ， 需 要 根据 部 署 在 虚拟 机 上 的 应 用 程序 ， 
确保 文 持 虚拟 机 的 恢复 。 另 外 注意 ， 创 建 的 检查 点 越 多 ， 对 性 能 的 影响 就 越 大 ， 因 为 多 个 VHD 文件 会 创建 虚拟 
厂 盘 链 。 


3.6.7 导入 和 导出 虚拟 机 


如 果 在 虚拟 机 上 运行 的 应 用 程序 文 持 这 个 过 程 , 就 可 以 使 用 Hyper-V 导入 和 导出 功能 在 Hyper-V 主机 之 间 传 输 
虚拟 机 。 

在 导入 过 程 中 ，Windows Server 2016 中 的 Hyper-V 在 配置 上 执行 验证 ， 以 识别 任何 问题 ， 如 缺少 组 件 。 

在 Windows Server 2016 中 ， 可 以 从 已 经 导出 的 虚拟 机 、 虚 拟 机 配置 副本 、 检 查 点 和 虚拟 硬盘 文件 中 导入 虚 
拟 机 。 

在 虚拟 机 寻 入 过 程 中 ， 可 以 选择 以 下 选项 : 

令 ”就 地 (使 用 现 有 的 唯一 ID) 注 册 虚 拟 机 ， 使 用 现 有 的 文件 位 置 创建 一 个 虚拟 机 。 

令 ”恢复 虚拟 机 (使 用 现 有 的 唯一 ID)， 把 虚拟 机 文件 复制 回 导出 位 置 ， 然 后 使 用 复制 的 文件 创建 一 个 虚拟 机 。 

令 ”复制 虚拟 机 (新 建 一 个 唯一 的 新 人 D), 将 虚拟 机 文件 复制 到 指定 的 新 位 置 , 然后 使 用 复制 的 文件 创建 一 个 新 

的 虚拟 机 。 

可 在 机 器 运行 或 关闭 时 导出 虚拟 机 。 在 虚拟 机 导出 过 程 中 ， 可 选择 以 下 选项 : 

令 ”Exporta Checkpoint 会 创建 一 个 导出 的 虚拟 机 ， 因 为 创建 检查 点 时 它 是 存在 的 。 导 出 的 虚拟 机 没有 检查 点。 

令 ”Export Virtual Machine with Checkpoints 会 叶 出 虚拟 机 ， 以 及 与 该 虚拟 机 相关 的 所 有 检查 点 。 
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3.6.8 ”实时 迁移 


如 果 虚 拟 机 正在 生产 中 ， 就 应 该 选择 实时 迁移 ， 而 不 是 导出 和 导入 过 程 。 实 时 迁移 是 在 虚拟 机 仍 在 运行 时 ， 将 
虚拟 机 从 一 个 Hyper-V 主机 移动 到 为 一 个 主机 的 过 程 。 然 而 ,用户 不 会 受 影响 ， 因 为 虚拟 机 的 状态 在 实时 迁移 期 间 
得 到 维护 ， 到 虚拟 机 的 网 络 连接 也 得 到 维护 。 

如 果 虚 拟 机 存储 在 Hyper-V 本 地 主机 上 ， 上 所 有 虚拟 机 数据 都 复制 到 新 的 HyperV 主机 上 。 但是， 如 果 虚 拟 机 存 
储 在 SMB 共享 中 ， 则 只 会 移动 虚拟 机 的 配置 数据 。3.7 节 “ 虚 拟 机 迁移 ”将 介绍 有 关 实 时 迁移 的 更 多 信息 。 


3.6.9 PowerShell Direct 


Windows Server 2016 引入 了 新 功能 PowerShell Direct。 此 功能 允许 连接 到 虚拟 机 上 , 并 运行 Windows PowerShell 
cmdlet， 而 不 必 通 过 网 络 从 主机 连接 到 客户 虚拟 机 。 它 还 提供 了 一 种 方式 ， 运 行 在 Hyper-V 主机 上 的 多 个 虚拟 机 可 
以 轻松 地 运行 目 动 化 脚本 。 

要 启用 PowerShell Direct， 应 该 满足 以 下 要 求 : 

令 ”主机 操作 系统 必须 是 Windows Server 2016 或 Windows 10。 

令 ”客户 操作 系统 必须 是 Windows Server 2016 或 Windows 10。 

争 ”必须 运行 提升 了 权限 的 Windows PowerShell 控制 合 。 

令 ”必须 使 用 证 书 验 证 虚拟 机 的 身份 。 

令 ”虚拟 机 配置 版 本 必须 更 新 。 

要 在 虚拟 机 上 输入 会 话 ， 请 使 用 以 下 命令 : 


Enter-PSSession -VMName <VM]> 
要 在 虚拟 机 上 调用 命令 ， 请 使 用 以 下 命令 : 


Invoke—Command -VMName <VML> -ScriptBlock {<Windows PowerSshell commands>} 


3.7 ”虚拟 机 迁移 


虚拟 化 的 最 大 好 处 之 一 是 虚拟 机 的 灵活 性 ， 这 样 可 以 随时 编辑 它们 的 资源 ， 也 可 以 很 容易 地 将 它们 移动 或 迁 
移 到 男 一 个 主机 上 。 有 几 种 场景 需要 将 虚拟 机 从 一 个 位 置 迁 移 到 男 一 个 位 置 。 例 如, 希望 将 虚拟 机 的 虚拟 硬盘 从 
一 个 物理 驱动 器 移动 到 同一 主机 上 的 男 一 个 物理 驱动 器 。 男 一 个 示例 是 , 可 将 虚拟 机 从 一 个 主机 移 到 男 一 个 主机 。 

以 下 选项 可 用 于 Windows Server 2016 中 的 虚拟 机 迁移 : 

Virtual Machine and Storage Migration: 通过 Hyper-V Manager 中 的 Move Virtual Machine Wizard， 将 运行 的 
虚拟 机 从 一 个 位 置 移 到 男 一 个 位 置 ， 或 从 一 个 主机 移 到 男 一 个 主机 。 本 选项 不 需要 故障 转移 集群 ， 也 不 需要 其 他 任 
何 局 可 用 性 技术 。 

Live Migration: 能 将 虚拟 机 从 一 个 主机 迁移 到 另 一 个 主机 ， 而 不 会 停机 。 在 Windows Server 中 ， 还 可 执 
行 Shared Nothing Live Migration， 这 不 需要 故障 转移 集群 。 此 外 ， 对 于 这 种 类 型 的 迁移 ， 主 机 不 需要 共享 任何 
存储 器 。 

Quick Migration:， 这 种 方法 也 适用 于 较 老 的 操作 系统 版 本 ， 比 如 Windows Server 2008。 它 要 求 安 装 和 配置 故 
障 转移 集群 。 在 迁移 过 程 中 ， 虚 拟 机 处 于 保存 状态 。 这 将 导致 停机 ， 直 到 将 内 存 的 内 容 复 制 到 男 一 个 节点 ， 并 从 保 
存 状 态 中 恢复 机 器 。 

Exporting and Importing Virtual Machines: 此 过 程 包括 在 一 台 主 机 上 导出 虚拟 机 ,然后 在 男 一 台 主 机 上 执行 
导入 操作 。 它 要 求 在 导出 和 导入 期 间 关 闭 虚 拟 机 。 在 Windows Server 2016 中 ， 可 将 虚拟 机 导入 Hyper-V 主机 ， 而 
不 必 在 导入 之 前 导出 它 。 

图 3.5 显示 了 虚拟 机 的 迁移 。 
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图 3.5 虚拟 机 的 迁移 
3.7.1 实时 迁移 概述 


Windows Server 2016 Hyper-V 允许 在 物理 Hyper-V 节 扣 之 间 移 动 虚拟 机 ， 而 不 必 关 闭 虚拟 机 。 这 个 过 程 称 为 实 
时 迁移 ， 可 在 集群 或 非 集群 环境 中 执行 它 。 在 故障 转移 集群 中 使 用 实时 迁移 时 ， 可 将 运行 的 虚拟 机 从 一 个 故障 转移 
集群 节 扣 移 到 为 一 个 节点 。 如 果 不 使 用 集群 ， 则 称 为 无 共 圣 实时 迁移 。 实 时 迁移 可 在 Failover Cluster Management 
控制 台 、System Center Virtual Machine Manager (VMM) Administrator 控制 台 或 Windows PowerShell 中 执行 

实时 迁移 过 程 包 括 四 个 步骤 : 

(1) 迁移 的 设置 。 当 管理 员 局 动 虚拟 机 的 故障 转移 时 ， 源 节点 创建 与 目标 物理 主机 的 TCP 连接。 这 个 连接 把 虚 
拟 机 配置 数据 转移 到 目标 物理 主机 上 。 实 时 迁移 在 目标 物理 主机 上 创建 一 个 临时 的 虚拟 机 ， 并 将 内 存 分 配给 目标 虚 
拟 机 。 迁 移 准 备 工作 还 要 检查 是 否 可 以 迁移 虚拟 机 。 

(2) 客户 内 存 转 黎 。 当 虚拟 机 仍然 在 源 主机 上 运行 时 ， 客 户 内 存 会 以 碗 代 方 式 转移 到 目标 主机 上 。 源 物理 主机 
上 的 Hyper-V 监视 工作 集中 的 页 面 。 当 系统 修改 内 存 页 面 时 ， 它 会 跟踪 页 面 ， 并 将 之 标记 为 正在 修改 。 在 此 阶段 ， 
迁移 的 虚拟 机 继续 运行 。Hyper-V 多 次 帮 代 内 存 复制 过 程 ， 每 次 都 将 少量 修改 过 的 页 面 复制 到 目标 物理 计算 机 。 最 
后 的 内 存 复制 进程 将 修改 后 的 剩余 内 存 页 复制 到 目标 物理 主机 。 一 旦 脏 页 面 的 数量 降 至 赋值 以 下 或 完成 10 次 友 代 ， 
复制 就 会 停止 。 

(3) 状态 转移 。 为 将 虚拟 机 迁移 到 目标 主机 ，Hyper-V 停止 源 分 区 ， 把 虚拟 机 的 状态 (包括 剩余 的 脏 内 存 页 ) 传 输 
到 目标 主机 ， 然 后 恢复 目标 主机 上 的 虚拟 机 。Hyper-V 必须 在 最 后 的 状态 传输 期 间 暂 停 虚拟 机 。 

(4) 清理 。 清 理 阶 段 通 过 去 除 源 主机 上 的 虚拟 机 、 终 止 工作 线程 ， 发 出 迁移 完成 信号 。 

在 Windows Server 2016 中 ， 可 使 用 Server Message Block (SMB) 3.0 作为 传输 工具 ， 来 执行 虚拟 机 的 实时 迁移 。 
这 意味 着 可 利用 关键 的 SMB 特性 ， 例 如 流量 压缩 、SMB Direct( 远 程 直接 内 存 访 问 ) 和 SMB 多 通道 ， 它 们 提供 高 速 
迁移 和 低 CPU 利用 率 。 


3.7.2 ”实时 迁移 的 要 求 


要 执行 实时 迁移 ， 必 须 配 置 主 机 。 另 外 ， 必 须 满足 Windows Server 2016 实时 迁移 的 具体 要 求 ， 

例 ”应 该 月 用 实时 迁移 ;默认 情况 下 不 月 用 。 

令 ”主机 电脑 应 该 有 相同 的 处 理 器 架构 。 

全 ”用 户 账 尸 必须 是 本 地 Hyper-V 管理 员 组 的 成 员 ， 或 两 台 虚 拟 机 的 主机 上 的 管理 员 组 成 员 。 

倒 ” 源 主 机 和 目标 主机 必须 安装 Hyper-V 角色 。 

令 ” 源 主 机 和 目标 主机 必须 是 同一 个 域 的 成 员 ， 或 彼此 信任 的 两 个 域 的 成 员 。 

令 ”如 果 在 源 主 机 或 目标 主机 上 运行 Hyper-V 管理 工具 ， 则 该 工具 应 安装 在 源 主机 和 目标 主机 上 。 否 则 ， 应 该 
在 运行 Windows Server 2016 或 Windows 10 的 计算 机 上 安装 管理 工具 。 
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争 ”应 该 为 实时 迁移 通信 配置 身份 验证 协议 。 可 以 选择 以 下 身份 验证 协议 ; 
* Kerberos 需要 配置 一 个 受 限 的 委托 。 当 局 用 Kerberos 时 ， 不 需要 登录 到 服务 器 。 
4 Credential Security Support Provider (CredSSP) 不 需要 配置 受 限 的 委托 ， 但 需要 管理 员 登 录 到 服务 髓 。 

令 ”可 选择 配置 实时 迁移 的 性 能 选项 ， 以 减少 网 络 和 CPU 利用 率 ; 这 样 做 可 能 会 提高 实时 迁移 的 速度 。 

傅 ”应 该 在 一 个 单独 的 网 络 上 执行 实时 迁移 ， 并 可 能 使 用 加 密 协 议 ， 如 Internet Protocol security (IPsecj， 在 实 
时 迁移 期 间 保 护 主 机 之 间 的 通信 。 

令 可 使 用 Windows PowerShell cmdlet Set-SMBbandwidthlimit， 为 实时 迁移 配置 带宽 限制 ， 以 优化 动态 迁移 过 
程 中 的 网 络 市 宽 。 


3.8 Hyper-V Replica 


Hyper-V Replica 在 Windows Server 2012 中 引入 ， 人 允许 把 主 站 点 上 运行 的 虚拟 机 复制 到 二 级 站 点 上 。Hyper-V 
Replica 用 于 灾难 恢复 场景 ， 在 这 种 场景 中 ， 一 个 虚拟 机 的 两 个 实例 驻 留 在 不 同 主 机 上 ， 一 个 作为 主 副本 或 实时 副 
本 ， 另 一 个 作为 副本 ， 或 者 脱 机 副本 。 这 些 副 本 定期 同步 ， 可 在 Windows Server 2016 中 配置 访 时 间 间 隔 。 也 可 在 
任何 时 候 实 现 故障 转移 。 
在 主 站 点 发 生 故 障 时 ， 管 理 员 可 使 用 Hyper-V 管理 器 执行 生产 工作 负载 的 故障 转移 ， 以 在 数 分钟 内 在 辅助 位 置 
上 复制 服务 器 ， 从 而 减少 停机 时 间 。 稍 后 ， 当 主 站 点 中 的 故障 被 修复 时 ，Hyper-V Replica 允许 管理 员 返 回 虚 拟 化 的 
工作 负载 。 
Hyper-V Replica 技术 由 几 个 组 件 组 成 ( 见 图 3.6)， 如 下 所 示 : 
令 ”复制 引擎 管理 复制 配置 细节 ， 处 理 初始 复制 、delta 复制 、 故 障 转移 和 测试 故障 转移 操作 。 复 制 引 擎 也 监 
控 虚 拟 机 和 存储 流动 性 事件 ， 并 执行 相应 的 操作 。 

令 ”Change Tracking 跟 踊 在 虚拟 机 的 主 副本 上 执行 的 更 改 。 

令 ”网 络 模 块 允 许 在 主要 主机 和 副本 主机 之 间 转 移 虚 拟 机 副本 。 它 还 默认 支持 数据 压 绾 ， 文 持 HTTPS 和 基于 
证 书 的 身份 验证 来 保护 复制 流量 。 

令 ”即使 所 复制 的 虚拟 机 具有 高 可 用 性 ， 可 从 一 个 集群 节点 移 到 另 一 个 集群 节点 ，Hyper-V Replica Broker 角色 
也 允许 使 用 Hyper-V Replica 功能 。 


图 3.6 Hyper-V Replica 体系 架构 


Hyper-V Replica 不 必 使 用 相同 的 服务 器 或 存储 硬件 。 但 灾难 恢复 位 置 中 的 物理 主机 应 该 有 足够 的 资源 ， 在 执行 
故障 转移 时 运行 副本 。 
需要 知道 的 是 ，Hyper-V Replica 不 是 一 种 高 可 用 性 技术 ， 而 是 一 种 灾难 恢复 技术 。 它 不 提供 目 动 故 障 转 移 。 


3.8.1 计划 Hyper-V Replica 


Hyper-V Replica 在 Windows Server 2016 中 有 以 下 特性 : 

倒 ”可 改变 复制 的 频率 。 在 Windows Server 2016 中 ， 可 以 将 复制 间隔 设置 为 30 秒 、5 分 钟 或 15 分 钟 。 

令 ”可 将 一 个 虚拟 机 复制 到 两 个 独立 的 服务 器 上 , 运行 虚拟 机 的 活跃 副本 的 服务 器 复制 到 副本 服务 器 上 , 然后 
副本 服务 器 复制 到 扩展 的 副本 服务 器 上 。 
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争 ”Hyper -VReplica 可 以 利用 Microsoft Azure 实例 作为 副本 存储 库 ， 这 比 构 建 灾难 恢复 站 点 更 方便 。 
3.8.2 ”实现 Hyper-V Replica 


在 实现 Hyper-V Replica 技术 之 前 ， 请 确保 满足 以 下 先决 条 件 : 

令 ”在 主 服 务 器 和 副本 服务 器 上 有 足够 的 存储 空间 ， 以 驻 留 复制 的 虚拟 机 所 使 用 的 文件 。 

令 ” 驻 留 主 服 务 器 和 副本 服务 器 的 位 置 之 间 存 在 网 络 连接 。 这 可 以 是 WAN 或 LAN 链接 。 

令 ”正确 配置 防火 墙 规则 ， 来 忆 用 主 站 点 和 副本 站 点 之 间 的 复制 操作 (默认 流量 是 通过 TCP 问 口 80 或 443 站 

口 进行 的 )。 

令 ”有 一 个 义 .509v3 证 书 ， 来 支持 Mutual Authentication( 如 果 需 要 )。 

要 局 用 Hyper-V Replica 技术 ， 请 完成 以 下 步 又: 

(1) 在 选项 的 Replication Configuration 组 中 ， 将 Hyper-V 服务 器 作为 副本 服务 器 司 用 。 

(2) 配置 Hyper-V 服务 器 设置 。 选 择 身 份 验证 和 问 口 选项 ， 并 配置 授权 选项 。 

(3) 配置 副本 文件 的 位 置 。 应 该 在 充当 副本 服务 器 的 每 个 服务 器 上 配置 这 些 设置 。 

(4) 指定 副本 服务 器 名 称 和 连接 选项 。 

(5) 选择 要 复制 的 虚拟 硬盘 驱动 器 ; 将 复制 间隔 配置 为 30 秒 、5 分 钟 (这 是 Windows Server 2016 中 的 默认 设置 ) 
或 15 分 钟 。 

(6) 在 Windows Server 2016 中 创建 初始 副本 之 后 , 还 可 以 对 运行 Hyper-V 的 第 三 个 物理 实例 或 基于 云 的 实例 进 
行 扩展 复制 。 


3.8.3 ”Hyper-V Replica 中 的 故障 转移 选项 


可 以 使 用 Hyper-V Replica 来 执行 三 种 故障 转移 : 测试 故障 转移 、 计 划 好 的 故障 转移 和 故障 转移 。 

测试 故障 转移 : 这 种 类 型 的 故障 转移 执行 一 个 无 干扰 的 任务 ， 在 主 虚 拟 机 运行 时 ， 该 任务 允许 在 副本 服务 器 上 
测试 虚拟 机 ， 并 且 不 会 中 断 复制 。 测 试 虚拟 机 没有 局 动 。 默 认 情 况 下 ， 它 是 断 开 连 接 的 ， 以 避免 与 正在 运行 的 主 虚 
拟 机 发 生 潜在 冲突 。 

计划 好 的 故障 转移 : 这 种 类 型 的 故障 转移 将 主 虚 拟 机 转移 到 一 个 副本 站 点 一 一 例如 ， 在 执行 站 点 维护 之 前 。 计 
划 好 的 故障 转移 确认 ， 在 执行 故障 转移 之 前 关闭 主 虚拟 机 。 在 故障 转移 期 间 ， 主 虚拟 机 将 它 尚 未 复制 的 所 有 数据 发 
送 到 副本 服务 器 。 然 后 ， 计 划 好 的 故障 转移 过 程 将 虚拟 机 故障 转移 到 副本 服务 器 ， 并 局 动 副 本 服务 器 上 的 虚拟 机 。 
在 计划 的 故障 转移 后 ， 虚 拟 机 在 副本 服务 右上 运行 ， 不 复制 其 更 改 。 如 果 想 再 次 建立 复制 ， 融 应 该 反问 复制 。 

故障 转移 : 只 有 当主 虚拟 机 不 可 用 或 关闭 时 , 才 在 复制 的 虚拟 机 上 执行 故障 转移 。 故 障 转移 是 一 种 计划 外 事件 ， 
可 能 导致 数据 丢失 ， 因 为 在 灾难 发 生 之 前 ， 主 虚拟 机 的 更 改 可 能 没有 复制 。 在 故障 转移 期 间 ， 虚 拟 机 在 副本 服务 器 
上 上 运行。 恢复 主 站 点 后 ， 可 反 转 复制 方 同 ， 以 重新 建立 复制 。 


3.9 Windows Server 2016 中 故障 转移 集群 的 高 可 用 性 


虚拟 化 为 组 织 的 IT 解决 方案 和 计算 能 力 提 供 了 许多 好 人 处。 但 它 不 能 提供 开 箱 即 用 的 高 可 用 性 。 因 此 ， 应 该 为 
虚拟 机 提供 高 可 用 性 解决 方案 。 大 多 数组 织 都 有 对 业务 公关 重 要 且 必 须 高 度 可 用 的 应 用 程序 。 要 使 应 用 程序 具有 珊 
可 用 性 ， 必 须 将 其 部 灵 到 为 应 用 程序 需要 的 所 有 组 件 提供 元 余 的 环境 中 。 

高 可 用 性 解决 方案 取决 于 在 虚拟 机 上 运行 的 应 用 程序 的 类 型 。 应 该 仔细 阅读 给 定 应 用 程序 的 高 可 用 性 解决 方案 
的 最 佳 实践 方式 。 根 据 所 运行 的 应 用 程序 ， 高 可 用 性 解决 方案 可 能 完全 不 同 。 例 如， 在 虚拟 环境 中 运行 的 Exchange 
Server、Skype for Business Server 和 File Server 的 高 可 用 性 解决 方案 是 完全 不 同 的 。 

假设 在 虚拟 机 中 运行 的 应 用 程序 支持 在 虚拟 机 级 别 部 四 高 可 用 性 解决 方案 。 这 种 情况 下 ， 应 该 在 Hyper-V 主机 上 
实现 故障 转移 集群 ， 这 意味 痢 在 虚拟 机 上 运行 的 应 用 程序 本 身 并 不 知道 在 Hyper-V 主机 上 运行 的 故障 转移 集群 。 

要 使 虚拟 机 高 度 可 用 ， 可 从 几 个 选项 中 进行 选择 。 可 将 虚拟 机 实现 为 集群 角色 ( 称 为 主机 集群 )， 也 可 在 虚拟 机 
中 实现 集群 ( 称 为 客户 集群 )。 
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3.9.1 主机 集群 

主机 集群 是 通过 在 Hyper-V 主机 服务 器 上 安装 故障 转移 集群 特性 来 部 署 的 。 在 这 个 场景 中 ,虚拟 机 配置 为 高 度 
可 用 的 资源 。 这 意味 着 在 虚拟 机 中 运行 的 客户 操作 系统 和 应 用 程序 不 需要 知道 集群 。 然 而 ， 虚 拟 机 仍然 高 度 可 用 。 

如 果 控 制 虚拟 机 的 主机 节点 因为 意外 而 不 可 用 , 则 次 要 主机 节点 将 接管 控制 权 , 并 尽快 重新 启动 或 恢复 虚拟 机 。 
还 可 以 采用 受 控 方 式 将 虚拟 机 从 集群 中 的 一 个 节点 移 到 另 一 个 节点 。 例 如 ， 可 在 主机 操作 系统 上 安装 更 新 时 ， 将 虚 
拟 机 从 一 个 节点 移 到 另 一 个 节点 。 

在 集群 的 虚拟 机 中 运行 的 应 用 程序 或 服务 ， 不 必 与 故障 转移 集群 兼容 ， 也 不 必 知 道 虚拟 机 采用 了 集群 方式 。 故 
障 转移 位 于 托管 集群 中 的 虚拟 机 级 别 ， 因 此 ， 在 虚拟 机 上 安装 的 软件 没有 依赖 性 。 


3.9.2 ”客户 集群 


客户 故障 转移 集群 是 在 虚拟 机 上 配置 的 。 在 此 场景 中 ， 创 建 两 个 或 多 个 虚拟 机 ， 并 在 客户 操作 系统 中 局 用 故障 
转移 集群 。 然 后 ， 就 可 为 虚拟 机 之 则 的 高 可 用 性 局 用 应 用 程序 或 服务 。 
此 外 , 作为 集群 成 员 的 虚拟 机 应 该 位 于 不 同 的 Hyper-V 主机 上 , 因为 将 它们 放 在 同一 台 主 机 上 代表 单个 故障 点 。 
在 主机 和 虚拟 机 级 别 上 实现 故障 转移 集群 时 ， 无 论 失 败 的 节点 是 虚拟 机 还 是 主机 ， 资 源 都 可 以 重新 启动。 这 种 配置 
也 称 为 跨 主 机 的 客户 集群 。 在 生产 环境 中 运行 关键 任务 应 用 程序 的 虚拟 机 上 ， 它 是 最 佳 的 高 可 用 配置 。 
在 实现 客户 集群 时 ， 应 该 考虑 以 下 几 个 因 系 : 
令 ”应 用 程序 或 服务 必须 支持 故障 转移 集群 。 这 包括 文 持 集群 的 任何 Windows Server 2016 服务 和 任何 应 用 程 
序 ， 如 集群 的 Microsoft SQL Server 和 Microsoft Exchange Server。 
争 ” 应 该 在 主机 计算 机 和 虚拟 机 上 部 署 多 个 网 络 适 配器 。 理 想 情 况 下 ， 如 果 使 用 此 方法 连接 到 存储 器 上 ， 则 应 
该 将 网 络 连接 专门 用 于 iSCSI 连接 。 还 应 该 在 主机 之 间 指 定 专用 网 络 ， 并 指定 客户 机 使 用 的 网 络 连接 。 


3.9.3 ”网 络 负 载 平衡 


网 络 负 载 平衡 (NLB) 从 最 早 的 版 本 开始 就 是 一 个 Windows Server 特性 ( 见 图 3.7)。 它 将 IP 流量 分 配给 TCP/IP 主 
机 的 多 个 实例 一 一 例如 ， 在 安装 NLB 的 主机 上 运行 的 Web 服务 器 。NLB 在 主机 之 间 透 明 地 分 发 客户 机 请 求 ， 它 允 
许 客户 机 使 用 虚拟 主机 名 或 虚拟 IP (VIP) 地 址 访问 集群 。 从 客户 机 的 角度 看 ， 集 群 似 乎 是 啊 应 这 些 客户 端 请 求 的 单 
个 服务 器 。 随 着 企业 流量 的 增加 ， 可 向 集群 添加 男 一 个 服务 器 。 
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图 3.7 Windows 网 络 负载 平衡 


因此 ，NLB 是 一 种 适用 于 资源 的 解决 方案 ,这 些 资源 不 需要 处 理 独 占 的 读 写 请 求 ， 也 不 需要 托管 数据 库 。 适 用 
于 NLB 的 应 用 程序 示例 包括 基于 Web 的 前 端 应 用 程序 和 服务 。 

在 配置 NLB 集群 时 ， 必 须 在 参与 NLB 集群 的 所 有 虚拟 机 上 安 洲 和 配置 应 用 程序 。 老 版 本 的 Windows Server 
也 支持 NLB; 但 是 , 应 该 在 一 个 NLB 集群 中 使 用 相同 的 操作 系统 版 本 。 与 跨 主机 的 客户 集群 类 似 , 在 不 同 的 Hyper-V 
主机 上 定位 虚拟 机 节点 时 ，NLB 资源 通常 会 从 总 体 上 增加 的 VO 性 能 中 获 益 。 与 旧版 本 的 Windows Server 一 样 ,不 
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应 该 在 同一 个 操作 系统 中 实现 Windows Server 2016 NLB 和 故障 转移 集群 ， 因 为 这 两 种 技术 相互 冲突 。 


3.9.4 什么 是 故障 转移 集群 ? 


高 可 用 性 代表 了 一 组 技术 ， 它 们 共同 工作 ， 以 提供 连续 的 功能 和 对 服务 和 数据 的 访问 ， 即 使 在 某 些 计 算 机 或 网 
络 组 件 发 生意 外 故障 的 情况 下 也 是 如 此 。Windows Server 2016 中 的 故障 转移 集群 为 许多 服务 器 角色 和 应 用 程序 提供 
了 高 可 用 性 解决 方案 。 通 过 实现 故障 转移 集群 ， 如 果 故 障 转 移 集群 中 的 一 台 或 多 台 计 算 机 发 生 故 障 ， 就 可 以 维护 应 
用 程序 或 服务 的 可 用 性 。 

故障 转移 集群 是 一 组 独立 的 计算 机 ， 它 们 一 起 工作 ， 以 提高 应 用 程序 和 服务 的 可 用 性 。 物 理 电缆 和 软件 连接 到 
集群 服务 器 ， 称 为 节点 。 如 果 其 中 一 个 集群 节点 失败 ， 男 一 个 节点 就 开始 提供 服务 。 这 个 过 程 称 为 故障 转移 。 通 过 
故障 转移 ， 可 以 最 小 化 服务 中 断 。 

在 故障 转移 集群 中 ， 集 群 中 的 每 个 节点 都 具有 以 下 属性 : 
与 集群 中 的 其 他 节点 完全 连接 起 来 并 通信 。 
知道 男 一 个 集群 节点 何 时 加 入 或 离开 。 
连接 到 一 个 网 络 上 ， 通 过 该 网 络 ， 客 户 六 计算 机 可 以 访问 该 集群 。 
通过 共享 总 线 或 iSCSI 连接 ， 连 接 到 共享 存储 器 。 
知道 在 本 地 运行 的 服务 或 应 用 程序 ， 以 及 在 所 有 其 他 集群 节点 上 运行 的 资源 。 

集群 存储 器 通常 指 所 有 集群 节 点 通过 共享 总 线 连接 到 的 逻辑 设备 (通常 是 驱动 器 或 逻辑 单元 LUN)。 共享 磁盘 存 
储 集 群 管理 的 应 用 程序 和 文件 共享 寺 资 源 。 

故障 转移 集群 通 首 定义 至 少 两 个 数据 通信 网 络 : 

分” 一 个 网 络 文 持 集群 与 客户 问 沟 通 。 

令 ”第 二 个 独立 的 网 络 允 许 集 群 节点 成 员 彼 此 直接 沟通 。 

如 果 不 使 用 直接 连接 的 共享 存储 ， 则 可 在 集群 节点 和 数据 存储 网 络 之 间 建 立 第 三 个 网 络 段 (用 于 iSCSI 或 Fibre 
Channel)。 

大 多 数 集群 的 应 用 程序 及 其 相关 资源 一 次 分 配给 一 个 集群 节点 。 提 供 对 这 些 集群 资源 访问 的 节点 是 活动 节 扣 。 
如 果 节 点 检测 到 集群 应 用 程序 的 活动 节点 故障 ， 或 者 活动 节点 脱 机 进行 维护 ,集群 的 应 用 程序 就 在 男 一 个 集群 节点 
上 局 动 。 

图 3.8 显示 了 典型 的 集群 体系 结构 。 


人 


服务 或 
应 用 程序 


公共 网 络 客户 端 
图 3.8 集群 体系 结构 


3.9.5 ”故障 转移 集群 的 高 可 用 性 


故障 转移 集群 提供 了 在 不 同 的 故障 场景 中 可 用 的 数据 、 应 用 程序 和 服务 ， 来 满足 组 织 对 高 可 用 性 的 业务 需求 。 
但 是 ， 应 该 安装 特定 硬件 配置 ， 以 满足 故障 转移 集群 的 先决 条 件 。 此 外 ， 应 该 安装 特定 的 操作 系统 特性 和 应 用 程序 
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组 件 ， 作 为 部 看 故障 转移 集群 的 先决 条 件 。 

在 为 特定 技术 部 普 故 障 转 移 集 群 之 前 ,请 阅读 关于 该 特定 技术 的 故障 转移 集群 规划 和 部 羞 指南， 以 及 最 佳 实践 
文档 。 针 对 不 同 应 用 程序 的 高 可 用 性 部 罩 可 能 有 所 不 同 。 例 如 ，Microsoft Exchange Server 在 Windows Server 操作 
系统 中 使 用 了 故障 转移 集群 特性 ; 但是， 可 以 使 用 Exchange Server 管理 工具 来 执行 高 可 用 性 部 署 和 故障 转移 集群 
安装 的 过 程 。 为 部 署 Hyper-V 的 高 可 用 性 ， 必 须 在 Server Manaeer 控制 人 台 或 Windows Server 操作 系统 的 Windows 
PowerShell 中 安装 故障 转移 集群 特性 。 

应 用 程序 必须 对 用 户 故 障 转 移 集群 具有 集群 意识 。Windows 服务 器 操作 系统 中 的 故障 转移 集群 为 以 下 应 用 程序 
和 特性 提供 了 高 可 用 性 : 

DFS 名 称 空 间 服务 器 

DHCP 服务 器 

分 布 式 事务 协调 器 (DTC) 

文件 服务 器 

通用 应 用 程序 

通用 的 脚本 

通用 服务 

Hyper-V Replica Broker 

iSCSI 目标 服务 器 

Internet Storage Name Service (iSNS) 服 务 器 


224 4 


消息 队列 

其 他 服务 器 ( 仅 创 建 客 户 背 访 问 点 和 存储 ， 创 建 集 群 后 将 添加 一 个 应 用 程序 ) 
虚拟 机 

WINS 服务 器 


3.9.6 ”集群 术语 

要 部 署 故障 转移 集群 , 应 该 了 解 集群 术语 。 故 障 转移 集群 的 术语 在 Windows Server 和 第 三 方 故障 转移 集群 产品 
中 都 类 似 。 

表 3.4 定义 了 故障 转移 集群 术语 。 


表 3.4 ”故障 转移 集群 术语 


术 语 定 义 

节点 一 人 台 Windows Server 2016 计算 机 ， 作 为 故障 转移 集群 的 一 部 分 ， 安 装 了 故障 转移 集群 功能 

服务 或 应 用 程序 | 可 在 集群 节操 之 间 移 动 的 服务 (例如 ， 集 群 的 文件 服务 器 可 在 任何 节点 上 运行 ) 

共享 存储 所 有 集群 节点 都 可 访问 的 外 部 存储 

仲裁 数量 集群 继续 运行 时 必须 在 线 的 元 素数 量 。 当 集群 节点 投票 时 ， 将 确定 仲裁 数量 

见证 当 节 点 数 为 偶数 时 ， 参 与 集群 投票 的 服务 器 

故障 转移 由 于 节点 故障 或 管理 员 的 操作 ， 将 集群 资源 从 第 一 个 节点 转移 到 第 二 个 节点 的 过 程 
由 于 第 一 个 节点 再 次 联机 或 管理 员 的 操作 ， 将 集群 资源 从 第 二 个 节点 转移 回 第 一 个 节点 的 过 程 。 如 

故障 恢复 果 服 务 或 应 用 程序 因为 故障 从 Nodel 转移 到 Node2, 当 Nodel 再 次 可 用 时 , 服务 或 应 用 程序 就 返回 
到 Nodel 

客户 机 连接 到 故障 转移 集群 ， 且 不 知道 服务 运行 在 哪个 节点 上 的 计算 机 


3.9.7 ”集群 类 列 和 类 型 


集群 技术 包括 不 同类 型 的 集群 ， 这 取决 于 需要 为 高 可 用 性 配置 的 应 用 程序 类 型 。 集 群 部 普 可 能 因 和 集群 节点 的 位 
置 而 异 。 此 外 ， 集 群 功能 可 根据 在 每 个 集群 成 员 节点 上 执行 的 活动 而 有 所 不 同 。 
考虑 根据 组 织 的 特定 业务 需求 部 普 不 同类 别 和 类 型 的 集群 。 集 群 类 别 和 类 型 包括 : 
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令 ”集群 的 类 型 。 例如， 通过 部 四 故障 转移 集群 可 以 实现 Hyper-V 高 可 用 性 ， 而 使 用 NLB 集群 可 为 Web 服务 
器 实现 高 可 用 性 。 

* 为 有 状态 的 应 用 程序 部 普 故 障 转 移 集 群 ， 如 SQL Server 和 Exchange Server。 有 状态 的 应 用 程序 具有 长 
时 间 运 行 的 内 存 状态 , 或 者 具有 频繁 更 新 的 数据 状态 。 其 他 类 型 的 故障 转移 集群 应 用 程序 包括 Hyper-V、 
文件 服务 器 和 打印 服务 器 。 

* 为 无 状态 的 应 用 程序 部 署 NLB， 比 如 Web 服务 器 。 无 状态 的 应 用 程序 没有 长 时 间 运 行 的 内 存 状态 ， 只 
能 处 理 只 读 或 不 经 常 更 改 的 数据 。 无 状态 的 应 用 程序 将 每 个 客户 机 请 求 视 为 独立 的 操作 ， 它 们 可 以 独 
立地 均衡 每 个 请 求 的 负载 。 无 状态 的 应 用 程序 包括 Web 服务 器 、 虚拟 专用 网 (VPN)、 文件 传输 协议 (FTP) 
服务 器 以 及 防火 墙 和 代理 服务 器 。NLB 集群 支持 基于 TCP 或 UDP 的 不 同 服务 和 应 用 程序 。 

仿 ” 单 站 扣 集 群 和 多 站 点 集群。 集群 部 署 可 以 包括 所 有 节点 都 位 于 一 个 数据 中 心 的 场景 。 但 是 ， 有 些 公 司 希 望 
扩展 应 用 程序 的 可 用 性 ， 以 防 主 数据 中 心 不 可 用 。 因 此 ， 组 织 部 署 可 伸缩 集群 ， 即 在 多 个 数据 中 心 部 署 节 
点 。 多 站 点 集群 还 可 包括 组 织 在 云 环境 (如 Azure) 中 定位 一 些 集群 节点 或 见证 服务 器 的 场景 。 

仿 ” 主动 -主动 和 主动 -被 动 集群 。 在 主动 -主动 集群 配置 中 , 例如 外 扩 文 件 服 务 器 集群 ， 多 个 节点 运行 集群 应 用 
程序 资源 ， 并 接受 客 尸 端 和 连接 。 在 主动 -被 动 集群 配置 中 ， 一 个 布点 运行 集群 应 用 程序 ， 而 其 他 节点 是 被 
动 的， 不 接受 客户 端 连接 。 如 果菜 个 活动 节点 因 任 何 原因 失败 ， 则 剩余 的 一 些 被 动 节点 将 成 为 活动 节点 ， 
并 运行 应 用 程序 ， 接 受 客 户 问 连接。 


3.9.8 故障 转移 集群 组 件 
故障 转移 集群 解决 方案 由 几 个 组 件 组 成 ， 如 表 3.5 所 示 。 
表 3.5 ”故障 转移 集群 组 件 


组 ” 件 定 义 
节点 这 些 计算 机 是 故障 转移 集群 的 成 员 ， 它 们 运行 集群 服务 ， 以 及 与 集群 相关 的 任何 资源 和 应 用 程序 
网 络 集群 节 点 可 以 相互 通信 、 也 可 以 与 客户 端 通信 的 网 络 
资源 节 扣 承载 资源 。 集 群 服务 管理 资源 ， 可 以 局 动 、 停 止 资 源 ， 并 将 其 移动 到 男 一 个 节操 
集群 存储 集群 节操 共享 的 存储 系统 。 在 条 些 场景 中 ， 例 如 运行 Exchange Server 的 服务 器 集群 ， 不 需要 共享 存储 
仲裁 数量 集群 继续 运行 时 必须 在 线 的 元 素数 量 。 当 集群 节点 投票 时 ， 将 确定 仲裁 数量 


见证 可 以 是 文件 共享 或 磁盘 ， 用 来 维护 仲裁 数量 。 理 想 情 况 下 ， 见 证 应 该 位 于 逻辑 上 和 物理 上 都 与 故障 
转移 集群 使 用 的 网 络 不 同 的 网 络 上 。 但 是 ， 见 证 必须 能 被 所 有 和 集群 节操 成 员 访 问 

服务 或 应 用 程序 | ”微软 提供 给 客户 、 由 客户 使 用 的 软件 实体 

客户 使 用 集群 服务 的 计算 机 (或 用 户 ) 


见证 


组 织 部 署 用 于 数据 保护 、 高 可 用 性 、 站 点 恢复 和 灾难 恢复 的 不 同 技术 。 然 而 ,没有 一 种 技术 能 够 覆盖 所 有 的 故 
障 或 数据 丢失 场景 。 因 此 ， 组 织 应 该 知道 哪些 技术 组 合 可 以 保护 它们 免 受 不 同 失败 场景 的 影响 。 

例如 ， 故 障 转移 集群 保护 组 织 不 受 服 务 器 硬件 故障 的 影响 ， 但 它 不 能 保护 组 织 不 受 数 据 删除 或 数据 损坏 造成 的 
数据 丢失 的 影响 。Windows Server Backup 保护 组 织 不 受 数 据 删除 或 数据 损坏 造成 的 数据 丢失 的 影响 , 但 它 不 保护 组 
织 不 受 服务 器 硬件 故障 的 影响 。 因此, 组 织 应 该 使 用 故障 转移 集群 保护 它们 的 应 用 程序 不 受 服 务 器 硬件 故障 的 影响 ， 
还 应 该 使 用 Windows Server Backup 保护 数据 不 受 数据 删除 和 损坏 的 影响 。 

表 3.6 列 出 了 多 个 Windows Server 技术 ， 以 及 它们 如 何 应 对 不 同 的 故障 。 


表 3.6 故障 转移 
无 停机 | 硬件 故障 | 。 站 上 数据 删除 或 损坏 
ET Er 
集群 视 应 用 程序 而 定 | 是 。 ”| 视 应 用 程序 而 定 是 
Hyper-V Replica EE 一 一 一 侣 
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3.9.9 ”实现 故障 转移 集群 的 硬件 需求 


为 集群 节点 选择 硬件 时 ,必须 了 解 硬件 需求 。 为 满足 可 用 性 和 支持 需求 ,故障 转移 集群 必须 满足 以 下 硬件 标准 。 
倒 ”应 该 使 用 Windows 服务 器 身份 验证 的 硬件 。 
令 ”应 该 在 每 个 故障 转移 集群 节点 上 安装 相同 或 相似 的 硬件 。 例 如 ， 如 果 选 择 特定 型 号 的 网 络 适 配器 ， 就 应 该 
在 每 个 集群 节点 上 安装 此 适配器 。 这 有 助 于 避免 兼容 性 和 容量 问题 。 

令 ”如 果 使 用 iSCSI 存储 连接 ， 就 应 该 确保 每 个 集群 服务 器 都 有 一 个 或 多 个 网 络 适配器 或 主机 总 线 适配器 ， 专 
用 于 集群 存储 。 不 应 该 给 非 存 储 网 络 通信 使 用 用 于 iSCSI 存储 连接 的 网 络 。 在 所 有 集群 的 服务 器 中 ， 用 于 
连接 iSCSI 存储 目标 的 网 络 适 配器 应 该 是 相同 的 ， 建 议 使 用 GB 以 太 网 或 更 快 的 适配器 。 

全 ”用 人 硬件 配置 服务 器 后 ， 应 该 确保 服务 器 通过 Validate a Configuration Wizard 中 的 所 有 测试 ， 之 后 考虑 微软 

支持 的 集群 配置 。 

为 集群 节点 选择 基础 设施 时 ， 必 须 确保 故障 转移 集群 满足 以 下 硬件 条 件 ， 以 满足 可 用 性 和 支持 需求 ， 包 括 以 下 
内 容 : 

全 ”应 该 运行 Active Directory 域 控制 器 的 文 持 版 本 ， 它 们 应 该 使 用 Windows Server 2008 或 更 新 版 本 。 

令 ” 域 功能 级 别 和 森林 功能 级 别 应 该 使 用 Windows Server 2008 或 更 新 版 本 。 

傅 ”应 该 运行 域名 系统 (DNS) 服 务 器 的 受 文 持 版 本 ， 它 们 应 该 使 用 Windows Server 2008 或 更 新 版 本 。 

令 ”配置 高 可 用 性 的 应 用 程序 应 该 支持 Windows Server 2016 操作 系统 。 

Windows Server 2016 包含 与 Windows Server 2008 和 较 新 操作 系统 相同 的 仲裁 (quorum) 模 式 ， 但 是 对 于 配置 仲 
裁 数 量 的 流程 和 建议 有 一 些 改 变 。 然 而 ， 大 多 数 投票 仍然 决定 集群 是 否 达 到 仲裁 数量 。 节 点 可 以 投票 ， 磁 盘 见 证 ( 集 
群 存 储 中 的 磁盘 )、 文 件 共享 见证 (文件 共享 ) 或 Azure 云 见证 (在 适当 情况 下 ) 也 可 以 投票 。 

在 Windows Server 2012 之 前 ， 只 有 4 种 仲裁 模式 : 

Node Majority: 每 个 参与 通信 的 可 用 节点 都 可 以 投票 。 集 群 仅 在 多 数 或 者 超过 半数 的 节点 可 以 投票 时 起 作用 。 
如 果 集 群 由 奇数 个 服务 器 节点 组 成 ， 且 不 需要 见证 人 来 维护 或 实现 仲裁 ， 则 首选 此 模型 。 

Node and Disk Majority: 每 个 节点 都 可 以 投票 ， 集 群 存储 中 的 指定 磁盘 (磁盘 见证 器 ) 也 可 以 投票 ， 只 要 它们 
是 可 用 的 并 处 于 通信 状态 。 集 群 功能 只 在 大 多 数 (超过 一 半 ) 节 点 可 以 投票 时 起 作用 。 此 模型 的 基础 是 ， 侦 数 个 服务 
器 节点 可 以 彼此 通信 ， 也 可 以 与 磁盘 见证 器 通信 。 

Node and File Share Majority: 每 个 节点 都 可 以 投票 ， 管 理 员 创 建 的 指定 文件 共享 (文件 共享 见证 ) 也 可 以 投票 ， 
集群 的 功能 只 在 大 多 数 节 点 可 以 投票 时 起 作用 。 此 模型 的 基础 是 ， 集 群 的 服务 器 节点 的 偶数 可 以 相互 通信 ， 也 可 以 
与 文件 共享 见证 器 通信 。 

No Majority:Disk Only: 如 果 一 个 节点 可 用 ， 并 且 与 集群 存储 中 的 特定 磁盘 通信 ， 则 该 集群 达到 了 仲裁 数量 。 
只 有 与 该 磁盘 通信 的 节点 才能 加 入 集群 。 


3.9.10 ”动态 仲裁 


在 Windows Server 2012 中 ， 引 入 了 一 种 新 的 模式 ， 称 为 动态 仲裁 ， 即 根据 和 在线 服务 器 的 数量 动态 调整 仲裁 票 
数 。 例 如 ， 如 果 有 一 个 5 节点 的 集群 ， 让 两 个 节点 处 于 暂停 状态 ， 剩 余 的 节 氮 之 一 月 渤 ， 则 集群 承 无 法 达到 仲裁 数 
量 ， 在 任何 旧 配 置 中 脱 机 。 但 是 ， 前 两 个 服务 器 脱 机 时 ， 动 态 仲裁 模式 将 调整 集群 的 投票 ， 因 此 ， 集 群 的 仲裁 数量 
需要 两 票 而 不 是 三 标 。 好 处 是 具有 动态 仲裁 模式 的 集群 可 以 一 直 在 线 。 

Windows Server 2012 R2 引入 了 基于 动态 仲裁 模式 的 动态 见证 。 动 态 见 证 是 根据 集群 的 节点 数量 进行 动态 投票 
的 见证 。 如 果 有 偶数 个 节点 ， 见 证 器 就 有 投票 权 。 如 果 节 点 数 为 奇数 ， 见 证 器 就 没有 投票 权 。 集 群 的 建议 配置 是 ， 
只 在 节点 数量 为 个 数 时 才 创 建 见 证 器 。 然 而 ， 动 态 见 证 器 可 以 移 除 投票 ， 使 集群 总 是 有 柯 数 票 ， 因 此 应 当 为 所 有 集 
群 配 置 见 证 器 。 这 是 配置 的 默认 模式 , 也 是 大 多 数 Windows Server 2016 和 Windows Server 2012 R2 场景 的 最 佳 实践 。 
在 Windows Server 2016 中 ， 唯 一 建议 的 仲裁 模式 是 动态 仲裁 ， 这 是 默认 配置 。 

在 Windows Server 2016 中 ， 可 以 选择 使 用 文件 共享 见证 、 磁 盘 见 证 或 Azure 云 见 证 ， 如 下 所 示 : 

磁盘 见证 : 磁盘 见证 是 在 大 多 数 场景 (尤其 是 本 地 集群 场景 ) 中 使 用 的 主要 见证 。 在 此 配置 中 ， 所 有 节点 都 可 以 
访问 共享 磁盘 。 这 种 配置 的 最 大 好 处 之 一 是 集群 将 集群 数据 库 的 副本 存储 在 磁盘 见证 上 。 

文件 共享 见证 : 当 共 享 存储 不 可 用 或 集群 路 越 地 理 位 置 时 ， 文 件 共享 见证 是 最 理想 的 。 此 选项 不 存储 集群 数据 
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库 的 副本 。 

Azure 云 见 证 : Azure 云 见 证 是 Windows Server 2016 的 新 产品 ， 是 运行 互联 网 连接 的 拉 伸 集群 时 的 理想 选择 。 
这 种 技术 不 需要 在 第 三 方 数据 中 心 位 置 或 云 VM 中 配置 文件 共享 见证 。 相 反 ， 此 选项 内 置 在 故障 转移 集群 中 ,不 和 存 
储 集 群 数 据 库 的 副本 。 云 见证 使 用 Microsoft Azure 作为 仲裁 点 。 可 使 用 Configure a Cluster Quorum 回 导 将 云 见 证 配 
置 为 仲裁 见证 。 云 见证 使 用 公开 可 用 的 Microsoft Azure Blob Storage 来 读 取 / 写 入 Blob 文件 ， 然 后 将 其 用 作 仲 裁 点 ， 
以 解决 脑 裂 问题， 消除 公共 云 中 托管 的 VM 的 额外 维护 开销 。 可 以 为 多 个 集群 使 用 相同 的 Microsoft Azure Storage 
Account， 每 个 集群 使 用 一 个 blob 文件 ，blob 文件 名 就 是 集群 的 唯一 ID。 因 为 故障 转移 集群 在 集群 节点 的 状态 变化 
期 间 在 每 个 blob 文件 中 写 入 非常 小 的 数据 ，Azure 云 见 证 不 为 Storage Account 创建 高 成 本 的 存储 账户 。 

还 应 该 考虑 集群 节点 的 容量 ， 并 考虑 它们 文 持 故障 转移 到 该 节点 的 服务 和 应 用 程序 。 例 如 ， 集 群 有 四 个 节点 和 
一 个 磁盘 见证 器 ,， 则 在 两 个 节点 失败 后 ， 该 集群 仍然 具有 仲裁 能 力 。 但 是 ， 如 果 在 集群 上 部 署 多 个 应 用 程序 或 服务 ， 
则 剩余 的 每 个 集群 节点 都 可 能 没有 能 力 提供 服务 。 


3.9.11 ”计划 迁移 和 升级 故障 转移 集群 


Windows Server 2016 有 一 个 新 的 进程 来 升级 故障 转移 集群 ， 称 为 Cluster Operating System Rolling Upgrade。 如 
果 当 前 正在 执行 集群 操作 系统 升级 ， 那 么 在 升级 集群 的 功能 级 别 之 前 ， 先 要 升级 集群 操作 系统 (OS)。 例 如 ， 如 果 使 
用 Windows Server 2012 R2 中 的 两 节 扣 集群 ， 就 可 将 其 升级 到 Windows Server 2016， 方 法 是 从 一 个 节 扣 抽取 角色， 
使 节点 脱 机 ， 然 后 从 集群 中 删除 它 。 接 看 可 将 该 节点 升级 到 Windows Server 2016， 并 将 该 节 扣 添加 回 集群 。 集 群 继 
续 在 Windows Server 2012 R2 的 Windows 功能 级 别 上 运行 。 然 后 ， 可 将 角色 提取 回 Windows Server 2016 节点 。 接 
看 从 集群 中 删除 Windows Server 2012 R2 节 扣 ,升级 它 , 并 将 其 添加 回 集群 。 最 后 ,两 个 节点 都 运行 Windows Server 
2016， 可 以 运行 以 下 Windows PowerShell 命令 ， 来 升级 功能 级 别 : 

Update-ClusterFunctionalLevel 

例如 ， 假 设 需要 升级 一 个 Hyper 故障 转移 集群 。 此 任务 可 在 Windows Server 2016 中 执行 ， 不 必 停机 。 

集群 中 每 个 节点 的 升级 步骤 包括 : 

(1) 移动 在 集群 节点 上 运行 的 所 有 虚拟 机 ， 然 后 暂停 集群 拉 点 。 

(2) 执行 一 个 干净 的 安装 ， 用 Windows Server 2016 替换 集群 节点 操作 系统 。 

(3) 将 现在 运行 Windows Server 2016 操作 系统 的 节 扣 添加 回 集群 。 

(4) 接 下 来 ， 将 所 有 节点 升 级 到 Windows Server 2016。 

(5) 最 后 ,使 用 Windows PowerShell cmdlet Update-ClusterFunctionalLevel 将 集群 功能 级 别 升 级 到 Windows Server 
2016。 


3.9.12 ”验证 向 导 和 集群 支持 策略 要 求 


验证 同 导 和 集群 支持 集 略 要 求 验 证 同 导 对 不 同 的 故障 转移 集群 硬件 配置 和 设置 执行 多 个 测试 。 可 以 在 配置 故障 
转移 集群 之 前 和 之 后 运行 同 导 , 它 将 验证 故障 转移 集群 节点 的 每 个 组 件 是 否 满足 硬件 、 网 络 、 基 础 设施 和 软件 需求 。 
向 导 必 须 验证 Windows Server 2016 故障 转移 集群 的 每 个 集群 节点 组 件 。 
验证 同 导 帮 助 执 行 多 种 类 型 的 测试 ， 例 如 : 
库存 
网 络 
存储 
此 外 ， 它 帮助 : 
令 ”发 现 与 硬件 或 配置 设置 相关 的 任何 问题 
令 ”验证 对 集群 的 硬件 或 配置 设置 的 更 改 
令 ”对 集群 进行 诊断 测试 
还 可 以 使 用 Test-Cluster cmdlet 运行 验证 测试 。 有 些 测试 要 求 在 测试 开始 之 前 执行 管理 操作 。 例 如 ， 在 集群 角 


HS. 
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色 使 用 的 磁盘 或 存储 池上 运行 存储 测试 之 前 ， 必 须 运 行 Stop-ClusterGroup cmdlet 来 停止 集群 角色 。 测 试 完 成 后 ， 可 
以 重新 启动 集群 角色 。 

如 果 在 验证 过 程 中 出 现任 何 问 题 和 和 错误， 请 使 用 Cluster Validation Wizard 生成 的 报告 来 分 析 和 执行 故障 排除 。 
还 可 将 报告 发 送 给 产品 文 持 团队 。 

在 配置 任何 故障 转移 集群 角色 之 前 ， 必 须 安装 故障 转移 集群 特性 。 要 实现 服务 器 角色 的 集群 ， 执 行 以 下 过 程 : 

(1) 安装 故障 转移 集群 特性 。 使 用 Server Manager 或 Windows PowerShell 在 所 有 将 成 为 集群 成 员 的 计算 机 上 安 
装 故 障 转移 集群 特性 。 

(2) 验证 配置 ， 并 使 用 适当 的 节点 创建 集群 。 使 用 Failover Cluster Management 管理 单元 验证 配置 ， 然 后 使 用 它 
创建 具有 所 选 节点 的 集群 。 

(3) 在 所 有 集群 节点 上 安装 角色 。 使 用 Server Manager 安装 要 在 集群 中 使 用 的 服务 器 角色 。 

(4) 使 用 Failover Cluster Management 管理 单元 创建 集群 角色 。 

(5) 配置 集群 角色 。 在 集群 使 用 的 应 用 程序 上 配置 选项 。 

(6) 使 用 Failover Cluster Management 管理 单元 , 故意 将 服务 从 一 个 节操 移动 到 男 一 个 节点, 来 测试 故障 转移 。 


3.9.13 ”配置 角色 


故障 转移 集群 支持 集群 多 个 Windows Server 角色 ， 如 File Services、DHCP 和 Hyper-V。 在 计划 配置 为 故障 
转移 集群 节点 的 服务 器 上 安装 故障 转移 集群 特性 之 后 ， 应 该 使 用 Cluster Manager 或 Windows PowerShell 安装 集 
和 群 角色 。 

表 3.7 列 出 了 可 在 故障 转移 集群 节点 上 配置 的 集群 角色 以 及 每 个 角色 需要 安装 的 组 件 。 


表 3.7 集群 角色 

集群 角色 角色 或 特性 的 先决 条 件 
DFS 名 称 空间 服务 器 DFS 名 称 空间 (文件 服务 器 角色 的 一 部 分 ) 
DHCP 服务 器 DHCP 服务 器 角色 
分 布 式 事务 协调 器 (DTC) 无 
文件 服务 器 文件 服务 器 角色 
通用 应 用 程序 不 适用 
通用 脚本 不 适用 
通用 服务 不 适用 
Hyper-V Replica 代理 器 Hyper-V 角色 
iSCSI 目标 服务 器 iSCSI 目标 服务 器 (文件 服务 器 角色 的 一 部 分 ) 
iSNS 服务 器 iSNS 服务 器 服务 功能 
消息 队列 消 轧 队列 服务 特性 
其 他 服务 器 (只 创建 客户 端 访问 点 和 存储 ) 无 
虚拟 机 Hyper-V 角色 
WINS 服务 器 WINS 服务 器 特性 


要 在 Cluster Manager 中 配置 集群 节点 ， 应 该 展开 集群 名 称 ， 然 后 右 击 Roles 并 单 击 Configure Role， 按 照 问 导 
中 的 步骤 操作 。 完 成 安装 后 ， 应 该 确保 在 Failover Clustering 控制 台中 的 所 有 节点 上 ， 该 角色 的 状态 是 Running。 


3.9.14 ”故障 转移 集群 的 管理 


可 执行 几 个 故障 转移 集群 害 理 任务 ,包括 添加 和 删除 集群 证 点 ,修改 仲 裁 设置 等 。 一些 最 第 用 的 配置 任务 
包括 : 

管理 集群 节点 : 对 于 集群 中 的 每 个 节点 ， 可 以 暂时 停止 集群 服务 ， 回 节 氮 发 起 远程 果 面 会 话 ， 或 将 节 氮 从 集群 
中 移 除 。 还 可 以 选择 删除 集群 中 的 所 有 节点 , 比如 执行 维护 工作 或 安装 更 新 。 这 个 功能 是 支持 Cluster-Aware Updating 
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(CAU) 的 基础 设施 的 一 部 分 ， 用 于 修补 集群 的 三 点。 
管理 集群 网 络 : 可 添加 或 删除 集群 网 络 ， 还 可 配置 专门 用 于 集群 间 通 信 有 的 网 络 。 
管理 权限 : 如 果 管 理 权限 ， 可 以 委托 权限 来 管理 集群 。 
配置 集群 仲裁 设置 如 果 配 置 仲裁 设置 ， 就 确定 如 何 实现 仲裁 ， 以 及 谁 可 以 在 集群 中 投票 。 
将 服务 和 应 用 程序 迁移 到 集群 中 : 可 将 现 有 的 服务 实现 到 集群 中 ， 并 使 它们 高 度 可 用 。 
配置 新 的 服务 和 应 用 程序 ， 以 在 集群 中 工作 : 可 在 集群 中 实现 新 的 服务 。 
删除 集群 : 如 果 要 将 服务 移 到 另 一 个 集群 ， 则 可 删除 集群 。 但 是 ， 首 先 必须 删除 正在 集群 中 使 用 的 服务 。 
可 以 使 用 Failover Cluster Management 控制 台 或 Windows PowerShell 执行 这 些 管理 任务 。 


3.9.15 ”配置 集群 属性 


集群 节点 对 于 每 个 集群 都 是 必需 的 。 在 创建 集群 并 将 其 移动 到 产品 中 之 后 ， 可 能 需要 配置 集群 属性 ， 这 可 以 通 
过 Failover Cluster Manager 控制 台 来 完成 。 

右键 单 击 Failover Cluster Manager 中 的 集群 对 象 ， 然 后 单 击 Properties， 可 配置 集群 属性 。 属 性 窗口 中 可 用 的 选 
项 卡 包 括 : 

General: 显示 集群 的 名 称 ， 管 理 集群 组 属性 。 在 Cluster Group 属性 中 ， 可 为 核心 集群 资源 组 选择 首选 所 有 者 ， 
并 配置 故障 转移 和 故障 恢复 设置 。 

Resource Iypes: 人 允许 管理 当前 集群 资源 类 型 ， 添 加 新 的 集群 资源 类 型 。 

Balancer: 人 允许 配置 虚拟 机 平衡 。 

Cluster Permissions: 允许 配置 集群 安全 权限 。 


3.9.16 ”管理 集群 节点 


管理 集群 节点 有 三 个 方面 : 
漆 加 节点 : 要 同 已 建立 的 故障 转移 集群 添加 节点 ， 可 以 在 Failover Cluster Management 控制 台 的 Actions 窗 格 


中 选择 Add Node，Add Node 疝 导 会 提示 用 户 输 入 所 添加 节点 的 信息 。 
暂 集 节 点 : 可 以 暂停 节点 ， 以 防止 资源 失效 或 转移 到 该 节点 。 当 一 个 节点 正在 进行 维护 或 故障 排除 时 ， 通 各 


会 暂停 它 。 
删除 节点 : 可 以 删除 节点 ， 对 于 集群 节 扣 来 说 ， 这 是 一 个 不 可 逆转 的 过 程 。 删 除 节 点 后 ， 必 须 将 其 添加 回 集 


群 。 当 节点 受 损 、 无 法 修复 或 集群 不 再 需要 它 时 ， 就 删除 该 节点 。 如 果 删 除了 一 个 损坏 的 节点 ， 可 以 修复 或 重新 构建 
它 ,然后 使 用 Add Node 同 导 将 其 添加 回 集 群 ,在 Failover Cluster Manager 控制 台 的 Actions 窗 格 和 Windows PowerShell 
( 见 图 3.9) 中 可 使 用 这 些 配置 操作 。 
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图 3.9 管理 集群 节操 


故障 转移 将 提供 对 集群 资源 访问 的 贡 任 从 一 个 节点 转移 到 为 一 个 节点 。 当 一 个 节 扣 由 于 便 件 故 障 而 出 现 计 划 外 
停机 时 ， 或 者 活动 节点 上 的 服务 故障 可 以 同 另 一 个 节点 发 起 故障 转移 时 ， 束 会 发 生 故 障 夸 移 。 当 管理 员 有 意 将 资源 
转移 到 另 一 个 节点 进行 维护 时 ， 也 会 发 生 故障 转移 。 
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故障 转移 答 试 包括 以 下 步骤 ; 

(1) 集群 服务 按照 实例 的 依赖 层次 结构 决定 的 顺序 ， 使 所 有 的 实例 资源 脱 机 。 依 赖 资 源 首 先 脱 机 ， 然 后 依赖 它 
们 的 资源 脱 机 。 例 如 ， 如 果 应 用 程序 依赖 于 物理 磁盘 资源 ， 集 群 服务 首先 将 应 用 程序 脱 机 ， 这 样 应 用 程序 能 在 磁盘 
脱 机 之 前 回 磁 盘 写 入 更 改 。 

(2) 集群 服务 和 尝试 将 实例 转移 到 实例 首选 所 有 者 列表 中 的 下 一 个 节点 。 这 发 生 在 所 有 资源 脱 机 之 后 。 

(3) 如 果 集 群 服务 成 功 地 将 实例 移动 到 为 一 个 节点 , 它 就 尝试 使 所 有 资源 联机 。 它 以 依赖 层次 结构 的 倒序 开始 。 
在 这 个 示例 中 ， 集 群 服务 首先 答 试 将 磁盘 恢复 到 联机 状态 ， 然 后 是 应 用 程序 。 当 新 节点 上 的 所 有 资源 都 联机 时 ， 故 
障 转 移 就 完成 了 。 

这 条 规则 也 有 例外 。 一 个 例外 是 ， 当 运行 Windows Server 2012 R2 或 更 新 版 本 的 Hyper-V 服务 故障 转移 时 ， 该 
角色 不 会 脱 机 。 相 反 ， 它 写 入 到 源 位 置 和 资源 所 有 者 的 目的 地 ， 直 到 故障 转移 完成 。 然 后 将 IO 移动 到 新 的 故障 转 
移 集 群 节点 。 

可 将 集群 服务 预 配置 为 故障 恢复 实例 ， 这 些 实例 最 初 驻 留 在 脱 机 节点 上 ， 该 脱 机 节点 再 次 激活 后 ， 就 让 集群 服 
务 故 障 恢复 到 实例 。 此 时 ， 集 群 服务 使 用 与 故障 转移 期 间 相 同 的 过 程 ， 这 和 意味 着 集群 服务 将 所 有 实例 的 资源 脱 机 ， 
移动 实例 ， 然 后 将 实例 中 的 所 有 资源 重新 联机 。 


1. 计划 故障 转移 与 非 计 划 故 障 转移 

故障 转移 集群 在 完成 计划 好 的 故障 转移 时 ， 会 执行 前 面 讨论 的 步骤 。 对 于 计划 外 的 故障 转移 ， 故 障 恢复 步骤 与 
计划 好 的 故障 转移 相同 。 然 而 ， 当 一 个 节 扣 在 没有 任何 计划 的 情况 下 脱 机 时 , 通常 会 友 生 计划 外 的 故障 转移 。 因此， 
服务 在 拥有 它们 的 节点 上 突然 关闭 。 这 导致 Failover Cluster Manager 跳 到 第 3 步 ， 然 后 节点 试图 尽快 将 脱 机 服务 重 
新 联机 。 


2. 配置 集群 联网 

联网 和 网 络 适配器 是 每 个 集群 实现 的 重要 部 分 。 如 采 不 配置 集群 使 用 的 网 络 ， 就 无 法 配置 集群 。 网 络 可 以 执行 
集群 中 的 三 个 角色 之 一 ， 包 括 : 

私有 了 网络: 私有 了 网络 承载 内 部 集群 的 通信 。 使 用 这 种 类 型 的 网 络 时 ， 集 群 节 后 交换 心跳 ， 并 检查 其 他 节 上 把 。 故 
障 转 移 集 群 对 所 有 内 部 通信 进行 身份 验证 。 然 而 ， 考 虑 到 安全 性 ， 官 理 员 可 能 希望 将 内 部 通信 限制 到 物理 上 安全 的 
网 络 。 

公共 网 络 : 公共 网 络 为 客户 计算 机 提供 对 集群 应 用 服务 的 访问 。 故 障 转移 集群 应 用 程序 在 网 络 上 创建 IP 地 址 
和 资源， 为 客户 机 提供 对 集群 服务 的 访问 。 

公共 和 私有 了 网络: 公共 和 私有 网 络 也 称 为 混合 网 络 ， 承 载 内 部 集群 通信 ， 并 将 客户 问 连 接 到 集群 应 用 服务 。 


3.9.17 配置 仲裁 属性 


集群 仲裁 是 故障 转移 集群 中 的 关键 资源 ， 因 为 如 果 技 失 了 仲裁 ， 集 群 节点 将 不 会 啊 应 客户 机 请 求 。 因 此 ， 必 须 
正确 配置 集群 仲裁 。 适当 的 集群 配置 可 确保 集群 资源 在 集群 成 员 关 系 更 改期 间 处 于 联机 状态 ， 例 如 计划 内 的 或 计划 
外 的 节点 天 闭 、 网 络 问题 或 任何 其 他 故障 场景 。 

要 修改 Windows Server 2016 故障 转移 集群 中 的 仲裁 配置 ， 可 使 用 Configure Cluster Quorum 同 导 或 Windows 
PowerShell cmdlet。 可 用 的 三 个 仲裁 配置 选项 如 下 : 

Use Typical Settings: 使 用 此 选项 时 ， 故 障 转移 集群 将 目 动 为 每 个 节点 分 配 投 票 ， 并 动态 管理 节点 投票 。 如 果 
硬件 配置 包含 集群 共享 存储 ， 集 群 将 选择 一 个 人 磁盘 见证 。 在 此 场景 中 ， 故 障 转 移 集群 软件 将 目 动 选择 仲裁 和 见证 配 
置 ， 为 特定 的 集群 配置 提供 最 高 的 可 用 性 。 

Add or Change the Quorum Witness: 在 使 用 此 选项 时 ， 可 以 添加 、 更 改 或 删除 一 个 见证 资源 。 见 证 资源 可 以 
是 文件 共享 或 磁盘 。 在 此 场景 中 ， 故 障 转 移 集 群 软件 将 上 自动 为 每 个 节 氮 分 配 投票 ， 并 动态 地 管理 节点 投票 。 

Advanced Quorum Configuration and Witness Selection: 只 有 当 应 用 程序 或 站 点 位 置 对 仲裁 配置 有 特定 要 求 
时 ， 才 需要 此 选项 。 在 此 场景 中 ， 要 手动 修改 仲裁 见证 ， 添 加 或 删除 节点 投票 。 还 可 以 选择 该 集群 动态 管理 节点 投 
票 。 默 认 情 况 下 ， 投 票 分 配给 所 有 节 上 扣 ， 节 所 投票 是 动态 管理 的 。 
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3.9.18 ”什么 是 文 持 集群 的 更 新 ? 


对 集群 的 节点 应 用 操作 系统 更 新 时 ， 必 须 小 心 。 在 早期 的 Windows Server 版 本 中 ， 可 为 集群 角色 提供 零售 机 时 
间 ， 但 必须 手动 更 新 集群 节点 ， 每 次 更 新 一 个 。 此 外 ， 还 必须 将 资源 从 要 更 新 的 节点 移 到 男 一 个 节点 。 这 个 过 程 非 
常 耗 时 。 在 Windows Server 2012 中 ， 做 软 实现 了 支持 集群 的 更 新 (CAU)， 这 是 一 种 用 于 自动 更 新 集群 节点 的 功能 。 

CAU 功能 允许 管理 员 目 动 更 新 集群 节 点 ， 在 更 新 过 程 中 很 少 或 没有 损失 可 用 性 。 在 更 新 过 程 中 ，CAU 透明 地 
将 每 个 集群 节点 脱 机 ， 安 装 更 新 和 任何 相关 的 更 新 ， 在 必要 时 重新 局 动 ， 使 节点 重新 联机 ， 然 后 移动 到 集群 中 的 下 
一 个 节 扣 ， 进 行 更 新 。 

对 于 许多 集群 角色 ， 这 个 目 动 更 新 过 程 会 触 友 计划 内 的 故障 转移 ， 并 可 能 导致 连接 的 客户 端 出 现 短暂 的 服务 中 
断 。 然 而 ， 对 于 Windows Server 2016 中 持续 可 用 的 工作 负载 ， 例 如 市 有 实时 迁移 的 Hyper-V 或 市 有 SMB 透明 故障 
转移 的 文件 服务 器 ，CAU 可 在 不 影响 服务 可 用 性 的 情况 下 编排 集群 的 更 新 。 

CAU 以 下 列 两 种 模式 之 一 编排 完整 的 集群 更 新 : 

远程 更 新 模式 : 在 这 种 模式 下 ， 可 以 配置 一 台 运 行 Windows Server 2012 R2、Windows 8.1 或 更 新 版 本 的 计算 
机 作为 CAU 协调 器 。 要 将 计算 机 配置 为 CAU 协调 器 ， 必 须 安装 故障 转移 集群 管理 工具 。 协 调 器 计算 机 不 应 该 
是 要 更 新 的 集群 成 员 。 在 协调 器 计算 机 中 ， 管 理 员 使 用 默认 或 目 定 义 的 Updating Run 配置 文件 ， 触 发 按 需 更 新 。 
远程 更 新 模式 适 于 监控 Updating Run 期 间 的 实时 进度 ， 以 及 在 Windows Server 2016 的 Server Core 安装 上 运行 的 
集群 。 

目 更 新 模式 : 在 这 种 模式 中 ， 将 CAU 集群 角色 配置 为 要 更 新 的 故障 转移 集群 上 的 工作 负载 ， 然 后 定义 一 个 关 
联 的 更 新 计划 。 这 种 情况 下 ，CAU 没有 专用 的 协调 器 计算 机 。 集 群 使 用 默认 或 目 定义 的 Updating Run 配置 文件 ， 
在 预定 时 间 更 新 目 己 。 在 Updating Run 期 间 ，CAU 协调 器 流程 从 目前 拥有 CAU 集群 角色 的 节点 上 局 动 ， 在 每 个 集 
和 群 节点 上 依次 执行 更 新 。 

在 目 更 新 模式 中 ，CAU 可 以 使 用 完全 目 动 化 的 疹 到 端 更 新 进程 来 更 新 故障 转移 集群 。 管 理 员 也 可 在 这 种 模式 
下 按 需 要 触发 更 新 ， 或 使 用 远程 更 新 。 在 目 更 新 模式 中 ， 管 理 员 可 以 连接 到 集群 ， 并 运行 Windows PowerShell 
Get-CauRun cmdlet， 来 访问 Updating Run 的 摘要 信息 。 

要 使 用 CAU， 必 须 先 在 Windows Server 2016 中 安装 故障 转移 集群 特性 ， 然 后 创建 故障 转移 集群 。 支 持 CAU 
功能 的 组 件 随 后 会 目 动 安 装 在 每 个 集群 节点 上 。 

还 必须 安装 CAU 工具 , 其 中 包括 故障 转移 集群 工具 。 这 些 工具 也 是 远程 服务 器 管理 工具 (RSAT) 的 一 部 分 。CAU 
工具 包括 CAU GUI 工具 和 Windows PowerShell cmdlet。 在 安装 故障 转移 集群 特性 时 ， 故 障 转移 集群 工具 默认 安装 
在 每 个 集群 节点 上 。 还 可 在 运行 Windows Server 2016 或 Windows 10 的 本 地 或 远程 计算 机 上 安装 这 些 工 具 ， 这 些 计 
算 机 具有 到 故障 转移 集群 的 网 络 连接 。 

如 果 组 织 的 集群 具有 大 量 节 点 ， 或 组 织 具 有 许多 不 同类 型 集群 ， 管 理 就 更 具 挑 战 性 。 因 此 ， 对 于 管理 员 来 说 ， 
使 用 Windows PowerShell 能 更 有 效 地 创建 和 管理 集群 ， 也 便于 排除 故障 。 

管理 和 故障 转移 集群 的 一 些 和 营 见 cmdlet 包括 : 

Get-Cluster: 返回 给 定 域 中 一 个 或 多 个 故障 转移 集群 的 信息 。 

Get-ClusterAccess: 返回 控制 故障 转移 集群 的 访问 权限 的 信息 。 

Get-ClusterDiagnostics: 对 包含 虚拟 机 的 集群 返回 诊断 信息 。 

Get-ClusterGroup: 返回 故障 转移 集群 中 的 一 个 或 多 个 集群 角色 (资源 组 ) 的 信息 。 

Get-ClusterLog: 为 故障 转移 集群 中 的 所 有 节操 或 特定 节点 创建 一 个 日 志文 件 。 

Get-ClusterNetwork: 返回 故障 转移 集群 中 的 一 个 或 多 个 网 络 的 信息 。 

Get-ClusterResourceDependencyReport: 生成 一 个 报告 ， 列 出 故障 转移 集群 中 资源 之 则 的 依赖 天 系 。 

Get-ClusterVMIMonitoredItem: 返回 虚拟 机 中 监视 的 服务 和 事件 列表 。 

Test-Cluster: 为 故障 转移 集群 的 硬件 和 设置 运行 验证 测试 。 

Test-ClusterResourceFailure: 模拟 集群 资源 的 失败 。 


3.9.19 ”什么 是 拉 伸 集群 ? 
拉 伸 集群 在 多 个 位 置 提供 高 度 可 用 的 服务 。 尽 管 拉 伸 集 群 可 以 解决 几 个 特定 问题 ， 但 它们 也 提出 了 特定 挑战 。 
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拉 伸 集群 的 存储 复制 功能 允许 每 个 站 点 独立 ， 并 提供 对 本 地 磁盘 的 快速 访问 。 对 于 单独 的 存储 系统 ， 不 能 在 站 
点 之 间 共 享 磁盘 ( 见 图 3.10)。 
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图 3.10 ” 拉 伸 集群 的 体系 结构 


与 远程 服务 器 相 比 ， 拉 伸 集 群 在 故障 转移 站 点 上 有 三 个 主要 优势 。 这 些 优 势 包 括 : 

令 ” 当 一 个 站 点 失败 时 ， 拉 伸 集 群 可 将 集群 的 服务 或 应 用 程序 目 动 转移 到 男 一 个 站 扣 。 

争 ” 因为 集群 配置 自动 复制 到 拉 伸 集群 的 每 个 节点 上 , 所 以 管理 开销 比 使 用 备用 服务 器 少 ,备用 服务 器 需要 手 

动 复制 更 改 。 

令 ” 拉 伸 集群 的 目 动 流程 减少 了 人 为 错误 的 可 能 性 ， 而 人 为 错误 是 手动 过 程 所 固有 的 。 

但 是 ， 由 于 拉 伸 -故障 转移 集群 的 成 本 和 复杂 性 在 增加 ， 它 可 能 不 是 每 个 应 用 程序 或 业务 的 理想 解决 方案 。 
在 考虑 是 否 部 普 拉 伸 集群 时 , 应 该 评估 应 用 程序 对 业务 的 重要 性 、 所 使 用 的 应 用 程序 类 型 以 及 任何 蔡 代 解决 方 
案 。 有 些 应 用 程序 可 使 用 日 志 传 送 或 其 他 过 程 轻松 地 提供 扩展 元 余 ， 实 现 足 够 的 可 用 性 ， 而 成 本 和 复杂 性 仅 稍 


有 提高 。 

拉 伸 集群 较为 复杂 ,需要 比 单 站 点 集群 更 详细 的 体系 结构 和 硬件 计划 。 它 还 要 求 开 发 定期 测试 集群 功能 
业务 程序 。 

实现 拉 伸 集群 与 实现 单 站 点 集群 有 不 同 的 先决 条 件 。 理解 这 些 差 异 以 及 如 何 为 实现 多 站 点 集群 做 好 准备 是 非常 
重要 的 。 


在 实现 多 站 点 故障 转移 集群 之 前 ， 必 须 确保 以 下 内 容 : 

令 ”在 每 个 站 点 上 必须 有 是 够 的 节点 和 投票 ， 这 样 ， 即 使 一 个 站 点 停机 ， 和 集群 也 能 联机 ,。 这 种 设置 需要 额外 
的 硬件 ， 会 显著 增加 成 本 。 

全 ”所 有 节点 必须 有 相同 的 操作 系统 和 服务 包 版 本 。 

令 ”必须 在 网 站 之 间 提 供 至 少 一 个 低 延 返 、 可 徘 的 网 络 连 接 。 这 对 于 集群 心跳 很 重要 。 默 认 情 况 下 ， 无 论 子 网 
如 何 配 置 ， 心 跳 频率 或 子 网 延迟 是 每 秒 钟 (或 1000 毫秒 ) 一 次 。 对 于 心跳 频率 ， 在 公共 子 网 上 的 范围 是 每 
250 到 2000 毫秒 一 次 ， 在 子 网 之 间 是 250 到 4000 毫秒 一 次 。 默 认 情 况 下 ， 节 点 错过 5 个 心跳 构成 的 一 个 
系列 时 ， 另 一 个 节点 就 启动 故障 转移 。 这 个 值 的 范围 或 子 网 阁 值 是 3 一 10 个 心跳 。 

令 ”必须 提供 存储 复制 机 制 。 故 障 转 移 集群 不 提供 存储 复制 机 制 。 还 需要 多 个 存储 解决 方案 , 每 个 创建 的 集群 
有 一 个 解决 方案 。 

令 ”必须 确保 用 于 集群 的 所 有 其 他 必要 服务 (如 AD DS 和 DNS)， 在 另 一 个 网 站 均 可 用 。 还 必须 确保 当 发 生 故 
障 转移 时 ， 客 户 疹 连 接 可 重 定 同 到 新 的 集群 节点 。 


3.10 ”Hyper-V 的 故障 转移 集群 


实现 故障 转移 集群 ， 并 将 VM 配置 为 高 度 可 用 的 资源 时 ， 故 障 转 移 集 群 将 VM 视 为 其 他 任何 应 用 程序 或 服务 。 
例如 ， 如 果 主 机 发 生 故 障 ， 故 障 转移 集群 会 在 集群 中 的 为 一 台 主 机 上 尽快 恢复 对 VM 的 访问 。 每 次 只 有 一 个 节点 运 
行 VM。 但 是 ， 作 为 计划 迁移 的 一 部 分 ， 还 可 将 VM 移动 到 同一 集群 中 的 其 他 任何 节操 。 
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故障 转移 过 程 将 提供 对 集群 中 资源 的 访问 的 责任 从 一 个 节点 转移 到 另 一 个 节点 。 当 管理 员 出 于 维护 或 其 他 原 
因 ， 故 意 将 资源 转移 到 男 一 个 节点 时 ,或 者 由 于 硬件 故障 或 其 他 原因 导致 菜 个 节点 的 计划 外 停机 时 ， 可 能 发 生计 划 
好 的 故障 转移 (也 称 为 switchover)。 
故障 转移 过 程 包括 以 下 步骤 : 
(1) VM 运行 的 节点 拥有 VM 的 集群 实例 ， 控 制 对 共享 总 线 的 访问 或 到 集群 存储 的 iSCSI 连接 ， 并 拥有 分 配给 
VM 的 任何 磁盘 或 逻辑 单元 号 (LUN) 的 所 有 权 。 集 群 中 的 所 有 市 点 都 使 用 专用 网 络 互相 发 送 常 规 信 号 ， 称 为 心跳 信 
号 。 心 跳 指 示 一 个 节点 在 网 络 上 运行 和 通信 。 默 认 心 跳 配置 指定 ， 每 个 节点 每 秒 (或 1000 毫秒 ) 通 过 TCP/UDP 并 口 
3343 发 送 一 个 心跳 。 
(2) 当 承 载 VM 的 节点 没有 通过 网 络 回 其 他 节操 发 送 和 常规 心跳 信号 时 ， 就 会 司 动 故障 转移 。 默 认 情 况 下 ， 连 续 
5 次 错过 心跳 (或 5000 守 秒 )， 束 会 月 动 故障 转移 。 故 障 转 移 可 能 由 节点 故障 或 网 络 故 障 引起 。 当 不 再 接收 赦 障 节点 
发 出 的 心跳 信号 时 ， 集 群 中 的 其 他 节点 就 开始 接管 VM 使 用 的 资源 。 
配置 Preferred Owner 和 Possible Owners 属性 ， 可 定义 能 接管 资源 的 一 个 或 多 个 节 扣 。 如 果 资 源 有 多 个 可 能 的 
故障 转移 节点 , Preferred Owner 属性 就 指定 所 有 权 的 层次 结构 。 默认 情况 下 , 所 有 节点 都 是 Possible Owners 的 成 员 。 
因此 ， 删 除 一 个 作为 Possible Owner 的 节点 ， 该 节 点 就 不 会 在 故障 情况 下 接管 资源 。 
例如 ， 假 设 用 四 个 节点 来 实现 故障 转移 集群 。 但 只 将 两 个 节点 配置 为 Possible Owner。 在 故障 转移 事件 中 ， 如 
果 两 个 Preferred Owner 都 不 在 线 , 则 资源 仍 可 能 被 第 三 个 节点 接管 。 尽 绾 没有 将 第 四 个 节点 配置 为 Preferred Owner， 
但 如 果 它 仍然 是 Possible Owner 的 成 员 ， 故 障 转移 集群 将 使 用 它 在 必要 时 恢复 对 资源 的 访问 。 
资源 是 按 依赖 顺序 联机 的 。 例 如 ， 如 果 VM 引用 iSCSI LUN， 就 按 顺 序 存 储 对 适当 的 主机 总 线 适配器 (HBA)、 
网 络 和 LUN 的 访问 。 当 新 节点 上 的 所 有 资源 都 联机 时 ， 故 障 转移 就 完成 了 。 对 于 与 资源 交互 的 客户 闫 ， 存 在 一 个 
短期 的 服务 中 断 ， 大 多 数 用 户 可 能 不 会 注意 到 这 一 点。 
(3) 还 可 配置 集群 服务 ， 使 其 在 再 次 激活 后 将 故障 返回 到 脱 机 节点 。 当 集群 服务 失败 时 ， 它 使 用 的 过 程 与 
故障 转移 期 间 相 同 。 这 意味 着 集群 服务 将 该 实例 关联 的 所 有 资源 脱 机 ， 移 动 实 例 ， 然 后 将 实例 中 的 所 有 资源 重 
新 联机 。 
目 Windows Server 2008 引入 Hyper-V 以 来 ，Hyper-V 的 故障 转移 集群 功能 有 了 诸多 改进 。Windows Server 2016 
继续 基于 Hyper-V 的 故障 转移 集群 ， 且 在 以 下 领域 有 一 些 更 新 的 特性 和 改进 ; 
令 ” 文 持 最 大 证 点 和 VM。 故 障 转移 集群 最 多 文 持 64 个 节点 ， 每 个 集群 支持 8000 个 VM( 每 个 节点 文 持 1024 
个 VMD。 

令 ”文件 共享 存储 。Windows Server 2012 允许 在 文件 服务 器 集群 中 的 服务 器 消息 块 (SMB) 文 件 共 享 上 存储 VM。 
这 是 一 种 提供 可 由 多 个 集群 访问 的 共享 存储 的 方法 ， 人 允许 在 集群 之 间 移 动 VM 而 不 移动 存储 器 。 要 局 用 此 
功能 ， 请 部 署 文 件 服务 器 集群 角色 ， 并 为 应 用 程序 数据 选择 外 扩 文 件 服务 器 。 
令 ”共享 虚拟 磁盘 。Windows Server 2012 R2 允许 使 用 vhdx 作为 客户 集群 的 共享 虚拟 磁盘 。Windows Server 
2016 为 共享 磁盘 提供 了 改进 的 特性 ， 并 引入 了 一 种 新 的 磁盘 格式 .vhds(VHD Set)。 

售 ”HyperyV 集群 滚动 升级 。 在 Windows Server 2016 中 ， 当 从 Windows Server 2012 R2 升级 时 ， 可 以 一 次 升 
级 一 个 节点 。 升 级 Hyper-V 集群 中 的 所 有 节点 后 ， 可 以 升级 整个 集群 的 功能 级 别 。 

争 VM 配置 版 本 。Windows Server 2016 基于 滚动 升级 ,不 会 自动 更 新 VM 的 配置 版 本 。 现 在 可 以 手动 更 新 
VM 配置 版 本 。 这 人 允许 VM 在 Windows Server 2016 和 Windows Server 2012 R2 之 间 来 回迁 移 ， 直 到 完 
成 滚动 升级 为 止 。 现 在 就 准备 好 升级 到 Windows Server 2016 版 本 ， 利 用 Windows Server 2016 Hyper - V 
的 新 特性 。 


3.10.1 实现 Hyper-V 故障 转移 集群 


要 为 Hyper-V 实现 故障 转移 集群 ， 必 须 完成 以 下 噩 级 步 又 : 

(1) 安装 和 配置 所 需 的 Windows Server 2016 版 本 ,完成 安装 后 , 配置 网 络 设置 , 将 计算 机 连接 到 Active Directory 
域 中 ， 然 后 配置 到 共享 存储 的 连接 。 

(2) 配置 共享 人 存储。 必须 使 用 磁盘 管理 器 在 共享 存储 上 创建 磁盘 分 区 。 

(3) 在 主机 服务 器 上 安装 Hyper-V 和 故障 转移 集群 特性 。 可 使 用 Microsoft Management Console(MMO) 中 的 
Server Manager 或 Windows PowerShell 来 完成 此 任务 。 
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(4) 验证 集群 配置 。Validate This Cluster 问 导 检查 创建 集群 需要 的 所 有 必要 组 件 ， 并 在 任何 组 件 不 满足 集群 需 
求 时 ， 提 供 警 告 或 错误 。 在 继续 之 前 ， 解 决 Validate This Cluster 癌 导 标识 的 任何 问题 。 

强烈 建议 在 创建 集群 并 将 其 投入 生产 之 前 ， 运 行 Validate This Cluster 回 导 ， 并 解决 所 有 问题 。 

(5) 创建 集群 。 当 组 件 通 过 Validate This Cluster 同 导 的 验证 后 ， 就 可 以 创建 一 个 集群 。 在 配置 集群 时 ， 给 集群 
分 配 名 称 和 IP 地 址 。 在 AD DSs 中 使 用 集群 名 称 ， 在 DNS 中 注册 IP 地 址 ， 可 创建 一 个 计算 机 对 象 ( 也 称 为 集群 名 称 
对 象 (CNO))。 在 Windows Server 2012 R2 或 更 高 版 本 中 , 可 创建 一 个 与 Active Directory 分 离 的 集群 , 它 允 许 在 DNS 
中 创建 集群 名 称 对 象 ， 但 并 不 要 求 在 AD DS 中 具有 集群 名 称 对 象 。 

只 有 在 创建 集群 并 向 其 添加 合适 的 存储 后 ， 才 能 为 集群 局 用 Clustered Shared Storage。 如 果 想 使 用 CSV， 就 应 
该 在 进行 下 一 步 之 前 配置 CSV。 

(6) 在 一 个 集群 节点 上 创建 VM。 创建 VM 时 ， 确 保 与 VM 相关 的 所 有 文件 (包括 虚拟 硬盘 和 VM 配置 文件 ) 都 
存储 在 共享 存储 中 。 也 可 在 Hyper-V Manager 或 Failover Cluster Manager 中 创建 和 管理 VM ,建议 使 用 Failover Cluster 
Manasger 控制 台 来 创建 VM。 使 用 Failover Cluster Manager 创建 VM 时 ，VM 自动 高 度 可 用 。 

(7) 使 VM 仅 对 现 有 的 VM 具有 高 可 用 性 。 如 果 在 实现 故障 转移 集群 前 创建 了 一 个 VM， 束 需要 手动 使 其 高 度 
可 用 。 要 使 VM 高 度 可 用 ， 在 Failover Cluster Manager 中 ， 选 择 一 个 新 的 服务 或 应 用 程序 。Failover Cluster Manager 
会 列 出 能 高 度 可 用 的 服务 和 应 用 程序 。 选 择 使 VM 高 度 可 用 的 选项 时 ， 可 选择 在 共享 存储 上 创建 的 VM。 

使 VM 高 度 可 用 时 ， 会 看 到 所 有 集群 节点 上 托管 的 所 有 VM 的 列表 ， 包 括 不 在 共享 存储 上 存储 的 VM。 如 果 使 
不 位 于 共 训 存储 上 的 VM 高 度 可 用 ， 则 会 收 到 警告 ， 但 Hyper-V 将 VM 添加 到 服务 和 应 用 程序 列表 中 。 然 而 ,试图 
将 VM 迁移 到 男 一 个 主机 时 ， 迁 移 将 失败 。 

(8) 测试 VM 故障 转移 。 使 VM 高 度 可 用 后 ， 可 将 计算 机 迁移 到 集群 中 的 另 一 个 节 点 。 可 以 选择 执行 快速 迁移 
或 实时 迁移 。 大 多 数 情况 下 ， 应 该 执行 实时 迁移 ， 以 减少 停机 时 间 。 稍 后 将 讨论 这 些 差 弄 。 

在 Windows Server 2016 故障 转移 集群 中 ，CSV 允许 集群 中 的 多 个 节 点 同时 对 作为 NTFS 卷 提供 的 相同 磁盘 具 
备 读 写 访 问 权 限 ， 而 Windows Server 2016 故障 转移 集群 将 它们 作为 存储 添加 到 集群 中 。 在 使 用 CSV 时 ， 集 群 角 色 
可 更 快 地 从 一 个 节操 转移 到 男 一 个 节点 , 而 不 需要 更 改 驱 动 器 所 有 权 或 凶 载 和 重新 安装 卷 。CSV 还 有 助 于 简化 故障 
转移 集群 中 大 量 LUN 的 管理 。 

CSV 提供 了 通用 的 集群 文件 系统 ， 可 在 NTFS 上 分 层 。Windows Server 2016 没有 将 CSV 限制 到 特定 的 集群 工 
作 负 载 ; 它 只 文 持 Hyper-V 集群 和 外 扩 文 件 服务 器 集群 。 

虽然 CSV 提供 了 额外 的 灵活 性 。 减 少 了 停机 时 间 ， 但 在 Hyper-V 中 为 VM 实现 高 可 用 性 时 ， 不 需要 考虑 和 使 
用 CSV。 还 可 使 用 常规 方法 (使 用 未 分 配 为 CSV 的 磁盘 ) 在 Hyper-V 上 创建 集群 。 然 而 ， 建 议 使 用 CSV， 因 为 它们 
提供 了 以 下 优点: 

减少 磁盘 的 LUN: 可 使 用 CSV 来 减少 VM 所 需 的 LUN 数量 . 在 配置 CSV 时 , 可 在 单个 LUN 上 存储 多 个 VM， 
多 个 主机 计算 机 可 并 发 访问 相同 的 LUN。 

改进 了 对 磁盘 空间 的 使 用 : 不 是 将 每 个 .vhd 文件 放 在 有 空间 空间 的 单独 磁盘 上 ， 以 便 .vhd 文件 可 以 扩展 ， 而 可 
在 同一 个 LUN 上 和 存储 多 个 .vhd 文件 ， 来 超额 订阅 磁盘 空间 。 

VM 文件 的 单个 位 置 : 可 跟踪 VM 使 用 的 .vhd 文件 和 其 他 文件 的 路 径 。 可 以 指定 路 径 名 ， 而 不 是 使 用 驱动 器 字 
母 或 GUID 来 标识 磁盘 。 

实现 CSV 时 ， 所 有 添加 的 存储 都 显示 在 \ClusterStorage 文件 光 中 。\ClusterStorage 文件 夹 是 在 集群 节点 的 系统 
文件 炎 上 创建 的 ,不 能 移动 它 。 这 意味 看 所 有 属于 集群 的 Hyper-V 主机 都 必须 使 用 与 其 系统 驱动 器 相同 的 驱动 器 盘 
付 ， 否 则 VM 故障 转移 会 失败 。 

没有 特定 的 硬件 需求 : 实现 CSV 没有 特定 的 硬件 需求 。 可 在 任何 支持 的 磁盘 配置 上 、 在 Fibre Channel 或 iSCSI SAN 
上 实现 CSV。 

增强 的 弹性 : CSV 增强 了 弹性 ， 因 为 即使 一 个 节点 和 SAN 之 间 的 连接 中 断 ， 或 者 部 分 网 络 宕 机 ， 集 群 也 可 以 
正确 啊 应 。 集 和 群 通过 SAN 或 网 络 的 正常 运行 部 分 重新 路 由 CSV 流量 。 


3.10.2 ”实现 CSV 


创建 故障 转移 集群 后 ， 可 为 集群 启用 CSV， 然 后 将 存储 添加 到 CSV 中 。 
在 Windows Server 2012 R2 及 以 后 的 版 本 中 ,在 Hyper-V 主机 上 启动 关闭 时 , 该 VM 采取 的 操作 取决 于 为 每 个 
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VM 设置 的 操作 。 选 择 Automatic Stop Action 选项 卡 ， 可 在 VM 设置 中 找到 这 些 选 项 。 

VM 关闭 主机 时 的 操作 选项 如 下 : 

保存 虚拟 机 状态 : 此 选项 是 第 一 个 选项 ， 也 是 默认 选项 。 在 Windows Server 2012 R2 和 以 后 的 版 本 中 ， 这 个 选 
项 创建 一 个 .bin 文件 ; 为 使 VM 处 于 保存 状态 , 需要 保存 内 存 , 而 该 文件 为 止 保留 了 空间 。 如 果 主 机 开始 关闭 , Hyper-V 
虚拟 机 管理 服务 (VMMS) 就 开始 将 VM 的 内 存 保存 到 硬盘 上 ， 并 将 VM 置 于 保存 状态 。 

关闭 虚拟 机 : 第 二 个 选项 允许 VMMS 以 优雅 的 方式 为 Hyper-V 关闭 VM， 并 进入 关闭 状态 。 然 而 ，VM 操作 
系统 认为 ， 这 与 拔 挥 物理 机 器 上 的 电源 没有 区 别 。 

关闭 客户 操作 系统 : 与 其 他 两 个 选项 不 同 ， 第 三 个 (也 是 最 后 一 个 ) 选 项 要 求 集成 服务 在 VM 上 正常 工作 ， 确 切 
地 讲 ， 在 客户 VM 上 选择 并 安装 Operating System Shutdown。 然 而 ， 与 “关闭 虚拟 机 ”选项 不 同 的 是 ， 这 个 选项 允 
许 从 主机 的 角度 优雅 地 关闭 虚拟 机 (包括 客户 机 )。 使 用 集成 服务 , VMMS 会 触发 客户 机 上 的 关闭 操作 。 一 旦 局 动 ， 
VM 将 关 财 客户 操作 系统 ， 并 进入 大 闭 状态 。 

如 果 Hyper-V 主机 意外 脱 机 ，VMMS 进程 就 不 会 收 到 关于 关机 的 任何 信息 ; 因此 ， 这 些 操作 都 不 会 发 生 。 只 
有 在 HyperV 主机 上 局 动 关机 时 这 才 有 用 。 


3.11 _ 本章 要 点 


专注 于 设计 解决 方案 : 本 章 介 绍 了 Windows Server 2016 中 的 计算 功能 。 然 而 ， 为 充分 利用 新 技术 ， 应 该 在 设 
计 上 花费 足够 的 时 间 ， 以 使 解决 方案 满足 业务 需求 , 为 组 织 提供 投资 回报 。 在 设计 Hyper-V 解决 方案 时 , 总 是 从 “ 虚 
拟 机 上 托管 哪些 应 用 程序 ? ”这 个 问题 开始 。 一 旦 回答 了 这 个 问题 ， 就 应 该 继续 问 “ 应 用 供应 商 推荐 的 最 佳 实践 和 
衣 选 部 羞 策 略 是 什么 ? “例如 , 在 虚拟 环境 中 运行 Web 服务 器 的 建议 完全 不 同 于 在 虚拟 环境 中 运行 Exchange Server 
的 建议 。 同 样 的 问题 也 存在 于 高 度 可 用 的 解决 方案 中 ， 每 个 应 用 程序 都 有 目 己 的 首选 和 优化 部 团 异 型 。 

一 旦 完成 了 设计 过 程 ， 就 可 对 近期 的 性 能 和 可 伸缩 性 进行 评估 。 

问题 ”为 组 织 设 计 虚 拟 化 解决 方案 的 主要 目标 是 什么 ”设计 过 程 中 采用 的 方法 是 什么 ?对 于 解决 方案 支 
持 、 可 伸缩 性 和 噩 可 用 性 ， 有 长 期 计划 吗 ? 
营 案 ”虚拟 化 解决 方案 设计 包括 以 下 组 件 : 
* 用 户 数量 : 应 该 估计 虚拟 服务 器 的 适当 性 能 。 这 将 帮助 估计 主机 的 硬件 。 
* 遍 可 用 性 需要 为 组 织 提 供 对 虚拟 机 的 连续 访问 。 这 将 帮助 设计 虚拟 机 的 高 可 用 性 。 
* 服务 器 位 置 和 灾难 恢复 解决 方案 : 需要 优化 数据 中 心 和 分 支 机 构 之 间 的 WAN 链接 。 这 将 帮助 设计 
Hyper-V Replica， 作 为 灾难 恢复 解决 方案 。 

为 在 VM 环境 中 运行 的 特定 产品 定制 Hyper-V 解决 方案 : 在 虚拟 机 的 设计 和 部 音阶 段 ， 会 遇 到 与 网 络 、 安 全 、 
数据 库 或 HyperV 中 托管 的 任何 其 他 应 用 程序 相关 的 不 同 问题 。 邀 请 特定 产品 的 专家 加 入 ， 听 一 下 他 们 对 新 虚拟 化 
解决 方案 的 看 法 。 这 样 可 为 解决 方案 提供 最 佳 性 能 、 高 可 用 性 和 安全 性 的 优化 设计 。 

问题 ”需要 在 Hyper-V 中 为 组 织 设计 Exchange Server。 在 选择 最 适合 组 织 的 拓扑 时 ， 应 考虑 哪些 参数 ? 

答案 邀请 Exchange 管理 员 、 网 络 管理 员 和 安全 专家 讨论 Exchange 虚拟 化 项 目 。 这 样 可 为 Exchange 

Server 设计 最 优 的 虚拟 化 解决 方案 。 工 作成 果 可 能 包括 以 下 几 扣 : 

* 需要 为 Exchange Server 虚拟 机 配置 的 虚拟 机 容量 ， 如 虚拟 CPU、RAM、 网 络 和 存储 。 

4 必须 考虑 Exchange Server 虚拟 化 的 支持 场景 。 例 如 ， 没 有 为 Exchange Server 虚拟 机 提供 对 动态 内 存 、 
甘 分 便 盘 和 检查 点 的 文 持 。 

* Exchange Server 虚拟 机 的 高 可 用 性 和 灾难 恢复 解决 方案 。 

* Exchange 数据 库 、 虚 拟 硬 盘 和 在 传输 中 的 数据 的 安全 性 。 

自动 化 虚拟 化 环境 中 的 配置 过 程 : 我 们 的 任务 是 将 物理 基础 设施 迁移 到 Hyper-V 虚拟 化 解决 方案 。 然 而， 组 织 
由 数 百 台 服 务 器 组 成 。 需 要 创建 相同 数量 的 虚拟 机 ， 以 优化 它们 的 工作 。 此 外 ， 需 要 定期 为 测试 和 开发 创建 一 些 虚 

问题 需要 创建 Windows PowerShell 脚本 ， 以 同时 提供 和 管理 大 量 虚 拟 机 。 
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管 案 ”首先 提供 虚拟 机 的 单个 脚本 。 保 存 脚本 ， 并 创建 一 个 副本 ， 该 副本 将 针对 不 同类 型 的 虚拟 机 。 然 后 
为 不 同类 型 的 党 理 活动 创建 一 个 库 ， 例 如 提供 虚拟 机 ， 害 理 虚 拟 机 属性 ， 删 除 不 需要 的 虚拟 机 ， 收 集 日 志 
以 监视 虚拟 机 的 性 能 。 一 段 时 间 后 ， 束 能 有 效 地 应 对 任何 请 求 ， 例 如 : 

* 需要 一 个 新 的 虚拟 机 : 能 够 在 几 分 钟 内 提供 它 ， 而 不 是 几 小 时 。 

。 需要 为 所 选 虚拟 机 的 HyperV Replica 执行 故障 转移 测试 : 能 在 很 短 时 间 内 运行 任何 任务 。 


。 需要 为 应 用 程序 服务 器 农场 的 每 个 成 员 改 变 虚拟 机 参数 。 使 用 Windows PowerShell， 这 可 在 几 分 钟 内 


在 最 近 的 两 个 版 本 中 ， 和 微软 在 扩展 Windows Server 的 存储 功能 上 投入 了 大 量 资金 。 微 软 一 直 拥 有 核心 存 
储 技术 , 能 够 连接 到 存储 区 域 网 络 (SAN) 或 充当 文件 服务 器 。 如 今 , 随 看 Windows Server 2016 的 推出 , Windows 
Server 拥有 了 企业 级 的 基础 存储 拉 术 ,许多 公司 可 绕 过 或 补充 传统 的 专用 存储 解决 方案 。 本 章 将 关注 一 些 较 新 
的 存储 技术 。 


本 章 内 容 包括 : 

令 本 解 Windows Server 2016 中 新 存储 技术 的 定义 /使 用 原因 /用 法 
令 J 了 了解 Windows Server 存储 技术 的 部 四 注意 事项 

令 ”维护 和 支持 Windows Server 存储 环境 


4.1 Windows Server 2016 存储 概述 


对 于 在 Windows Server 的 前 两 个 版 本 中 没有 人 花 太 多 时 间 研 究 存 储 技 术 的 管理 员 来 说 ， 了 解 其 功能 非 彰 重要 。 
此 ， 在 深入 了 解 这 些 技术 的 细节 之 前 ， 本 章 衣 先 介绍 这 些 技术 和 关键 术语 。 

文件 系统 : 在 谈论 Windows Server 的 文件 系统 时 ， 指 的 是 NTFS(New Technology File System， 新 技术 文件 系统 ) 
和 ReFS(Resilient File System， 弹 性 文件 系统 )。 

数据 去 重 : 数据 去 重 是 Windows Server 2012 中 引入 的 一 种 新 的 数据 压缩 技术 。 与 NTFS 压缩 或 WinZip 中 内 置 
的 技术 关 似 ， 数 据 去 重 消除 了 多 余 的 数据 副本 。 在 引入 “数据 去 重 ” 一 词 之 前 ， 有 时 使 用 “ 单 实例 人 存储 ”一 词 。 实 
际 上 ， 单 实例 存储 (Single Instance Store，SIS) 是 微软 在 Windows Storage Server 2008 R2 中 实现 的 单 实例 存储 。 在 此 
之 前 ， 它 是 Microsoft Exchange 服务 器 上 的 一 个 特性 。 

存储 空间 : 存储 空间 是 一 种 存储 虚拟 化 技术 ， 人 允许 从 存储 字 中 创建 虚拟 磁盘 。 可 根据 需要 定制 存储 的 弹性 和 可 
用 性 。 

存储 副本 : 存储 副本 是 一 种 存储 复制 技术 ， 人 允许 将 数据 从 一 个 服务 器 复制 到 男 一 个 服务 器 ， 从 一 个 服务 器 复制 
到 上 自 号 (使 用 其 他 卷 )， 以 及 从 一 个 故障 转移 集群 复制 到 为 一 个 故障 转移 集群 。 

存储 服务 质量 : 与 基于 网 络 的 服务 质量 (QoS) 一 样 ， 存 储 QoS 可 根据 需要 提供 定制 的 存储 性 能 。Hyper-V 文 持 
该 技术 。 

现在 详细 说 明 每 个 技术 。 分 布 式 文件 系统 (DEFS) 和 工作 文件 夹 与 存储 密切 相关 ， 将 在 第 6 章 中 介绍 。 


4.2 ”文件 系统 


在 Windows Server 2016 中 使 用 的 两 个 主要 文件 系统 是 NTFS 和 ReFS。 读 者 可 能 很 熟悉 NTFS， 但 是 还 没有 部 
署 ReFS。 本 节 将 概述 这 两 个 文件 系统 以 及 典型 的 用 例 ， 还 介绍 文件 系统 的 一 些 高 级 概念 。 
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4.2.1 NTFS 
NTFS 于 1993 年 在 Windows NT 3.1 中 前 次 引入 ， 己 经 存在 了 很 长 时 间 。 换 句 话说 ， 该 文件 系统 是 很 成 熟 的 。 


支持 大 容量 和 内 置 加 密 支 持 的 文件 系统 ， 则 NTFS 是 唯一 选择 。 今 天 ， 有 两 个 这 样 的 文件 系统 : NTFS 和 ReFS。 下 
一 节 研 究 ReFS。 

NTFS 提供 了 大 量 特性 。 本 忆 不 会 描述 读者 已 经 熟悉 的 常见 特性 ， 而 是 回顾 一 些 更 高 级 的 特性 : 

重新 解析 点 : 用 于 扩展 IO 功能 。 可 将 重新 解析 点 看 成 具有 用 户 定 义 数 据 的 文件 系统 对 象 。 应 用 程序 可 以 使 用 
重新 解析 点 扩展 文件 系统 的 功能 。 例 如 ， 将 未 使 用 的 文件 移动 到 低 成 本 存储 (如 存储 分 层 ) 的 技术 ， 可 以 使 用 重新 解 
析 点 来 标识 数据 的 新 位 置 。 使 用 挂 载 点 (将 存储 附加 到 已 有 卷 上 的 文件 夹 ) 时 ， 也 会 使 用 重新 解析 点 。 开 发 人 员 可 利 
用 重新 解析 点 为 应 用 程序 及 其 数据 的 处 理 提供 额外 功能 。 可 使 用 带 有 reparsepoint 参数 的 fsutil 命令 检查 文件 上 的 重 
新 解析 点 。 

更 改 日 志 : 用 于 跟踪 在 NTFS 卷 上 添加 、 删除 和 修改 的 文件 。 这 个 特性 是 在 NTFS 5.0 (Windows 2000) 中 引入 的 。 

入 足 文 件 支 持 : 这 个 特性 只 在 需要 时 占用 磁盘 空间 ， 从 而 节省 存储 空间 。 例如 ， 如 果 有 一 个 大 文件 (比如 100GB 
的 文件 ) 包 含 了 80GB 的 实际 数据 (其 余数 据 由 数据 中 的 零 占 用 )， 那 么 NTFS 可 使 用 80GB 的 空间 来 存储 该 文件 。 但 
是 ， 只 有 局 用 称 朴 文件 文 持 ， 才 能 这 么 做 。 局 用 后 ， 黎 朴 操 作 就 会 在 后 台 透 明 地 进行 。 应 用 程序 不 需要 知道 它 。 可 
使 用 fsutil 命令 行 工 具 将 单个 文件 标记 为 稀疏 。 例 如 ， 要 标记 D:\Data\HugeFile.csv 为 稀 下 文 件 ， 可 运行 命令 : fsutil 
sparse setflag D:Data\HugeFlle.csV。 

有 关 NTFS 的 详细 信息 ， 请 访问 https://msdn.microsoft.com/en-us/library/cc781134(v=Ws.10).aspx。 昌 然 这 个 材料 
是 很 久 以 前 制作 的 ， 但 它 很 好 地 概述 了 NTFS 的 工作 原理 ， 详 细 介 绍 了 NTFS 体系 结构 。 


4.2.2 FeFs 


当 ReFS 首次 引入 Windows Server 2012 时 ， 许 多 管理 员 认 为 它 将 取代 NTFS 成 为 默认 文件 系统 。 但 是 ，ReFS 
只 是 补充 了 NTFS。 由 于 一 些 最 初 的 限制 ，ReFS 很 少 使 用 ， 或 者 有 时 在 非常 小 的 用 例 中 使 用 。 仍 然 存在 的 最 大 限 
制 之 一 是 ReFS 不 能 用 于 系统 卷 ( 这 是 因为 ReFS 不 是 可 引导 的 文件 系统 , 至少 现在 是 这 样 )。 它 只 能 与 数据 卷 一 起 
使 用 。 然 而 ，Windows Server 2016 中 的 ReFS 现在 是 第 2 版 一 一 它 已 经 得 到 了 改进 ， 许 多 限制 和 问题 已 经 删除 或 
修复 。ReFS 提供 了 持 越 的 数据 完整 性 、 可 伸缩 性 (支持 大 容量 ) 和 性 能 (尤其 是 在 处 理 大 容量 时 )。ReFS 的 主要 用 
例 是 Storage Spaces Direct( 如 果 需 要 的 话 )、 存 储 空 间 、 非 常 大 的 卷 ( 大 于 256 TB)、 带 有 Hyper-V 的 虚拟 化 场景 以 及 
一 些 备份 场景 。 

ReFS 有 几 个 突出 的 特性 : 

块 克 隆 : 块 克 隆 是 一 种 用 于 复制 数据 的 方法 ， 且 没有 通常 与 副本 相关 联 的 读 写 开销 。 对 于 标准 的 NTFS 文件 副 
本 ， 文 件 系 统 会 读 取 数据 ， 然 后 将 其 写 入 新 位 置 。 文 件 越 大 ， 复 制 时 间 越 长 。 使 用 ReFSs 块 殉 隆 ， 复 制 是 一 种 高 性 
能 操作 ， 只 将 文件 重新 映射 到 新 位 置 。 

完整 性 流 : ReFS 完整 性 流 是 一 个 可 选 特性 ， 可 在 单个 文件 、 文 件 夹 和 着 上 启用 它 。 完 整 性 流 使 用 校 验 和 来 帮 
助 维护 数据 的 完整 性 。 这 不 同 于 元 数据 的 默认 ReFS 校 验 和 (因为 这 只 涉及 元 数据 ， 而 不 涉及 实际 数据 )。 从 性 能 
度 看 ， 这 是 有 影响 的 。 因 此 ， 对 于 性 能 敏感 的 系统 或 具有 低 延 迟 性 能 需求 的 系统 ， 应 该 在 启用 完整 性 流 之 前 进行 充 


4.2.3 比较 NTFS 和 ReFS 


了 解 了 文件 系统 和 它们 的 一 些 高 级 特性 后 ， 接 下 来 了 解 细节 。 使 用 fsutil 工具 可 以 查看 支持 的 文件 系统 特性 。 
例如 ， 要 查看 F: 卷 的 文件 系统 特性 ， 可 运行 futil fsinfo volumeinfo 下 命令 。 表 4.1 回顾 了 文件 系统 的 特性 ， 并 显示 
了 文件 系统 之 间 的 一 些 差异 。 


第 4 章 存储 
表 4.1 文件 系统 特性 的 比较 
文件 系统 特性 ReFS 中 的 特性 
文件 名 区 分 大 小 写 是 
保存 文件 名 的 大 小 写 是 
保存 和 强制 ACL 是 
二 于 文件 的 所 本 
本 本 
称 下 文件 是 
ET 
全 名 的 这 E 
EE 
ee 
打开 文件 的 FileD 是 
> 是 
快 克隆 是 
稀 硫 VDL 是 
文件 重 影 是 


对 许多 管理 员 来 说 ， 有 几 个 关键 的 差异 ， 阻 止 了 ReFSs 的 广泛 部 闭 : 

令 ”ReFS 是 不 能 引导 的 。 这 是 更 多 管理 员 不 使 用 ReFS 的 首要 原因 。 因为 它 只 能 用 于 数据 卷 , 如 果 想 使 用 ReFS， 
就 必须 在 每 个 服务 器 上 部 普 这 两 个 文件 系统 。 如 果 部 辱 的 是 高 性 能 的 虚拟 化 或 备份 解决 方案 ,， 吏 可 以 忽略 
这 一 点 ， 利 用 ReFS 的 性 能 和 可 伸缩 性 。 

全 ”不 能 压缩 。 压 缩 并 不 总 是 可 用 ， 但 压缩 在 基于 Windows 的 文件 服务 器 上 很 流行 。 即 使 没 主动 使 用 压缩 ， 
当 郑 空间 不 足 时 ， 压 缩 也 会 有 所 帮助 。 

令 ”配额 并 不 可 用 。 配 额 通 党 用 于 基于 Windows 的 文件 服务 髓 ， 例 如 用 户 主 文 件 光 。 但 如 果 没 有 配额 ， 管 理 
员 将 很 难 在 服务 器 上 为 用 户主 文件 夹 部 署 ReFS， 因 为 配额 几乎 总 是 用 于 此 类 场景 。 

有 关 ReFSs 特性 和 其 他 信息 的 完整 列表 , 请 参阅 “Resilient File System (ReFS) Overview”, 网 址 是 https://docs. microsoft. 


com/en-us/Windows-server/storage/refs/rets-overVview. 


4.3 ”数据 去 重 


Windows Server 2016 中 的 数据 去 重 优 化 了 存 依 空间 的 容量 。 它 文 持 NTFS 和 ReFS 文件 系统 。 数 据 去 重 的 结果 
与 其 他 压缩 技术 的 结果 类 似 ， 但 实现 节省 空间 的 方法 往往 不 同 。 表 4.2 比较 了 常用 的 空间 节省 技术 。 
表 4.2 空间 节省 技术 的 比较 


空间 节省 技术 空间 节省 的 方法 空间 节省 的 潜力 
单 实例 存储 (SIS) 存储 准确 的 文件 副本 一 次 。 在 Exchange Server 有 限 ， 用 途 小 ,在 Fachanpe Server 2010 中 , Microsoft 
| 中 ， 仅 限于 电子 邮件 消 轧 和 附件 Exchange 删除 了 该 技术 
NTFS 数据 压缩 单独 压缩 每 个 文件 有 限 ， 用 途 小 。 非 常 适合 基于 文本 的 文件 
文件 压缩 工具 ， 复制 文件 ， 然后 压缩 到 存档 文件 。 只 有 删除 压缩 | 中 等 , 基于 文件 类 型 (非常 适合 基于 文本 的 文件 )。 不 
如 WinZip 才能 处 理 文件 像 其 他 技术 那样 透明 地 节省 空间 


在 后 台 透 明 地 节省 空间 。 识别 重复 的 模式 , 消除 | 非常 优秀 ， 具 体 取 决 于 数据 类 型 (VDI 文件 ， 优 秀 的 


数据 去 重 重复 的 模式 软件 安装 文件 ) 
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与 其 他 节省 空间 的 技术 一 样 , 对 于 特定 的 数据 类 型 , 数据 去 重 技术 能 极 大 地 优化 空间 , 但 不 适合 其 他 数据 类 型 。 
以 下 几 点 总 结 了 数据 类 型 和 和 典型 的 空间 节省 率 。 

虚拟 化 文件 : 具体 来 说 ， 它 可 以 优化 VDI( 虚 拟 果 面 基础 结构 ) 使 用 的 虚拟 人 硬盘。 这 是 一 种 非常 适合 数据 去 重 的 
数据 类 型 。 通 常 可 节省 80% 的 空间 。 假 定 在 一 个 卷 中 有 25 个 虚拟 硬盘 用 于 VM( 虚 拟 机 )。 它 们 都 运行 Windows 10。 
数据 中 有 大 量 的 重复 ， 这 束 多 许 数据 去 重 节 省 大 量 空 间 。 人 微软 的 官方 说 法 是 ， 除 了 VDI 之 外 ， 不 支持 Hyper-V 上 
VM 的 数据 删除 。 然 而 ， 可 在 这 样 的 场景 中 实现 出 色 的 空间 节省 效果 。 但 由 于 它 不 受 支 持 ， 应 该 将 此 类 用 途 限制 在 
非 生 产 或 实验 室 环境 中 。 

共享 文件 夹 : 为 用 户 处 理 主 文件 夹 时 ， 通 常 可 节省 25% 一 50% 的 空间 。 用 户 通 稼 存储 对 节省 空间 技术 不 友好 的 
数据 (如 视频 和 音乐 文件 )。 

软件 安装 数据 : 在 处 理 安装 文件 、ISO 文件 (尤其 是 系统 文件 ) 和 其 他 软件 安装 文件 时 ， 通 常 可 节省 $S0% 一 75%6 
的 空间 。 

使 用 ddpeval.exe 工具 可 估计 一 个 卷 的 总 空间 节约 量 。 一 旦 安装 了 Data Deduplication 角色 服务 ， 就 会 将 此 工具 
添加 到 服务 器 。 要 估计 Gi\ 着 节省 的 空间 ， 应 运行 ddpeval.exe G: 命 令 。 

很 多 时 候 ， 应 该 避免 使 用 数据 去 重 。 例 如 ， 在 Exchange Server 和 SQL Server 上 要 避免 数据 去 重 。 在 部 署 应 用 
程序 前 ， 请 与 软件 供应 商 联系 ， 以 确保 应 用 程序 文 持 ( 并 很 好 地 处 理 ) 数 据 去 重 。 


4.3.1 ”如 何 优化 数据 
数据 去 重 的 优化 过 程 很 有 趣 ， 如 果 它 没有 完成 期 望 的 工作 ， 了 解 它 的 工作 原理 将 有 助 于 排除 故障 。 图 4.1 显示 


了 优化 过 程 中 的 高 级 步骤 。 
©O 2 © © © 


| | | mm 
文件 块 每 个 块 的 。 ”压缩 的 块  ” 块 存储 重新 
单个 副本 解析 点 


图 4.1 优化 数据 的 方式 


下 面 的 步 又 详细 描述 图 4.1 中 的 数据 去 重 过 程 。 

(1) 当 数 据 去 重 优化 数据 时 ， 前 先 将 数据 分 解 成 更 小 的 块 。 这 些 块 大 小 不 一 ， 通 常 为 32 一 128 KB。 

(2) 一 旦 数据 分 解 成 更 小 的 数据 块 ， 数据 去 重 就 寻找 重复 的 数据 块 。 在 图 4.1 中 ,可 看 到 两 个 块 是 相同 的 (如 图 所 示 ， 
两 个 块 是 绿色 或 较 暗 ， 男 一 个 块 为 红色 或 较 浅 )。 重 复 的 块 用 一 个 指针 蔡 换 ， 该 指针 指向 剩余 的 块 的 单个 副本 。 

(3) 剩余 的 块 (所 有 唯一 的 块 ) 锌 压缩 。 压 绚 任 务 是 可 选 的 ， 但 默认 局 用 。 某 些 情况 下 ， 例 如 删除 不 易于 压缩 的 
文件 类 型 (如 多 媒体 数据 ) 时 ， 可 禁用 压缩 。 在 图 4.1 中 可 以 看 到 ， 块 更 小 了 ， 就 像 对 压缩 的 期 望 一 样 。 

(4) 块 发 送 到 块 存 储 区 。 块 存储 区 是 优化 卷 的 System Volume Information 文件 夹 中 的 Dedup 文件 夹 下 的 特殊 容 
船 文件 。 有 多 个 数据 去 重文 件 夹 。 人 然而， 它们 被 系统 用 于 数据 去 重 ， 所 以 在 处 理 数 据 时 应 该 小 心 。 

(5) 将 优化 后 的 文件 蔡 换 为 重新 解析 点 。 重 新 解析 点 是 一 个 指示 文件 系统 如 何 碍 找 数 据 的 指针 。 对 于 数据 去 重 ， 
重新 解析 点 将 文件 系统 定 同 到 块 存储 区 (优化 后 存储 数据 的 地 方 )。 

优化 数据 后 ， 读 取 数 据 的 方式 与 未 优化 数据 的 读 取 方式 不 同 。 接 下 来 了 解 如 何 读 取 优 化 数据 。 


4.3.2 ”如 何 读 取 优化 数据 


一 旦 数据 得 到 优化 ， 就 会 采用 一 种 独特 方法 来 处 理 数据 访问 。 这 个 过 程 对 用 户 来 说 是 完全 透明 的 。 图 4.2 显示 
了 读 取 优化 文件 的 过 程 。 

以 下 步骤 更 详细 地 拉 述 了 图 4.2 所 示 的 过 程 : 

(1) 在 这 个 场景 中 ， 用 户 试 图 打开 一 个 优化 的 文件 。 当 用 尸 打开 文件 时 ， 重 新 解析 后 会 拦截 读 取 请 求 ， 并 将 该 
请 求 有 发送 给 数据 去 重文 件 系 统 过 滤器 (dedup.sys)。 

(2) 文件 系统 过 滤器 dedup.sys 将 读 取 请 求 重 定向 到 包含 优化 数据 的 块 存 储 区 。 
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重新 解析 点 


块 (压缩 ) 


块 存储 区 


图 4.2 读 取 优化 的 数据 


(3) 文件 系统 通过 向 用 尸 提供 数据 来 完成 读 取 操作 。 如 果 用 户 更 改 了 任何 数据 并 保存 了 它 ， 文 件 系统 将 像 标 准 
保存 (未 优化 ) 操 作 那 样 保存 该 数据 。 稍 后 ， 在 下 一 次 预定 的 数据 去 重 作 业 中 ， 将 根据 配置 优化 数据 。 


4.3.3 ”数据 去 重 是 如 何在 后 台 工 作 的 


与 其 他 Windows 服务 一 梓 ， 数 据 去 重 在 后 台 透 明 地 运行 。 它 使 用 预定 的 任务 来 执行 数据 去 重 作 业 。 以 下 几 点 
描述 了 数据 去 重工 作 : 

背景 优化 : 这 是 数据 去 重 的 主要 工作 。 默 认 情 况 下 ， 该 任务 每 小 时 运行 一 次 ， 执 行 数据 去 重 的 核心 功能 (将 数 
据 分 解 为 块 ， 检 查 重 复 的 块 ， 压 缩 块 ， 并 将 数据 移动 到 块 人 存储 区 )。 

每 周 垃圾 收集 : 这 个 任务 每 周 运 行 一 次 ， 如 果 在 块 存 储 区 中 发 现 不 需要 的 块 ( 通 间 与 数据 删除 相关 联 )， 就 重新 
分 配 磁 盘 空 间 。 

每 周 擦 除 : 此 任务 一 周 运行 一 次 ， 并 得 找 由 于 卷 或 磁盘 问题 导致 的 块 存 储 损坏 。 

通过 Task Scheduler 可 得 看 任务 的 详细 信息 。 还 可 定制 任务 的 时 间 表 。 如 有 必要 ， 可 手动 运行 作业 和 任务 (无 论 
使 用 Task Scheduler 还 是 PowerShell)。 


4.3.4 ”如 何 启 用 数据 去 重 


可 在 文 持 的 郑 上 快速 打开 数据 去 重 。 在 为 卷 打 开 数据 去 重 之 前 ， 必 须 先 安装 Data Deduplication 角色 服务 。 此 
后 ， 可 在 Server Manager 中 执行 以 下 步骤 : 

(1) 在 Server Manager 中 ， 单 击 左 侧 窗 格 中 的 File And Storage Services。 

(2) 在 File And Storage Services 窗 格 中 ， 单 击 Wlumes。 

(3) 在 右 侧 的 Volume 窗 格 中 ， 右 击 要 删除 的 卷 ， 然 后 单 击 Configure Data Deduplication。 注 意 ， 不 文 持 数据 去 
重 的 卷 将 使 Configure Data Deduplication 项 变 灰 ( 不 可 用 )。 

(4) 对 于 服务 器 使 用 情况 ,选择 General Purpose File Server、Virtual Desktop Infrastructure (VDD Server 或 Virtualized 
Backup Server。 如 果 这 些 都 与 服务 器 类 型 不 匹配 ， 可 选择 General Purpose File Server 选项 并 自 定义 设置 (如 有 必要 )。 

(5) 配置 其 他 设置 或 接受 默认 设置 。 准 备 好 打开 数据 去 重 功 能 时 ， 单 击 OK。 

还 可 使 用 PowerShell 局 用 数据 去 重 。 例 如 ， 要 在 F\ 上 局 用 数据 去 重 ， 可 运行 enable - dedupvolume 下 :' 命 令 。 注 
意 ， 这 将 使 用 General Purpose File Server 模式 中 的 默认 设置 。 

一 旦 为 菜 些 着 局 用 了 数据 去 重 ， 它 大 多 是 一 个 “设置 后 就 息 记 ”的 技术 。 但 在 此 之 前 ， 需 要 确保 它 能 起 作用 并 
执行 其 工作 (节省 空间 )。 检查 现 有 的 数据 去 重 配 置 , 确定 是 否 所 有 操作 都 按 预 期 进行 时 ， 可 使 用 以 下 命令 获得 F: 卷 ， 
并 报告 节省 的 空间 : 


Get—DedupVolume F: 
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获得 所 有 配置 了 数据 去 重 的 疮 ， 并 报告 详细 信息 ， 以 及 节省 的 空间 百分比 : 
Get-DedupStatus | FL 

显示 数据 去 重 计划 (如 果 定 制 了 计划 ， 这 特别 有 用 ): 

Get-Dedupschedule 


接 下 来 了 解 一 些 高 级 设置 。 它 们 是 可 选 的 ， 但 在 特定 场景 中 可 能 有 用 。 


4.3.5 ”数据 去 重 的 局 级 设置 


许多 数据 去 重 的 实现 都 使 用 了 默认 设置 。 为 典型 的 工作 负载 (如 VDI 文件 或 通用 文件 服务 器 ) 使 用 数据 去 重 时 ， 
默认 设置 是 有 效 的 。 但 在 某 些 情况 下 ， 配 置 高 级 设置 或 更 改 默认 设置 将 帮助 实现 方案 获得 更 好 的 结果 。 本 节 将 讨论 
一 些 高 级 设置 ， 但 不 会 涵盖 所 有 可 用 的 设置 ， 只 在 本 节 末 尾 列 出 其 他 信息 的 链接 。 

调度 : 可 使 用 PowerShell 来 检查 和 更 改 现 有 的 调度 。 不 仅 可 更 改 调 度 ， 还 可 更 改 调度 任务 的 参数 。 例 如 ， 如 
果 想 更 改 ThroughputOptimization 调度 任务 ， 以 使 用 最 多 75% 的 内 存 ( 而 不 是 默认 的 50%)， 应 该 运行 Set- 
DedupSchedule 'ThrouehputOptimization' - memory 75 命令 。 

从 数据 去 重 中 排除 文件 : 可 手动 选择 从 数据 去 重 中 排除 指定 的 文件 类 型 。 数 据 去 重 不 适用 于 edb 或 .jrs 文件 。 
但 如 果 其 他 类 型 的 文件 无 法 从 数据 去 重 中 获 益 , 也 可 以 排除 这 些 类 型 。 要 在 Fi\ 着 上 排除 扩展 名 为 .IGES 的 文件 类 型 ， 
可 运行 Set-DedupVolume F: - ExcludeFileType IGES 命令 。 

更 改 最 小 文件 大 小 : 可 配置 数据 去 重 ， 以 便 在 文件 的 大 小 未 达 下 限时 跳 过 它们 。 如 果 有 许多 小 文件 ， 即 使 进行 
去 重 处 理 ， 也 不 会 节省 很 多 空间 ， 那 么 这 是 非常 有 用 的 。 要 将 数据 去 重 操 作 设 置 为 处 理 F:'\ 疮 上 最 小 为 64 KB 的 文 
件 ， 运 行 Set - Dedupvolume F: - MinimumFileSize 65536 命令 。 

可 以 修改 许多 设置 ， 来 满足 组 织 的 特定 需求 。 要 得 看 其 他 设置 ， 请 参阅 https://docs.microsoft.com/en-us/ 


windows-server/storage/ data-deduplication/advanced-settines。 


4.4 存储 宕 间 


存储 空间 是 内 置 于 Windows 服务 器 中 的 虚拟 化 存储 解决 方案 。 它 最 初 是 在 Windows Server 2012 引入 的 。 随 后 ， 
在 Windows Server 2012 R2 中 进行 了 改进 ， 在 Windows Server 2016 中 进一步 完善 。 它 是 一 个 企业 级 存储 解决 方案 ， 
用 于 各 种 要 求 的 工作 负载 。 微 软 甚至 将 其 推销 给 云 托管 公司 。 不 像 旧版 本 的 Windows Server 中 基于 软件 的 磁盘 弹性 
解决 方案 仅 用 于 满足 小 型 企业 偶尔 使 用 的 需求 ， 存 储 空间 是 一 个 功能 齐备 的 存储 解决 方案 ， 其 中 包括 不 同 级 别 的 弹 
性 、 存 储 分 层 和 许多 融 度 可 用 的 特性 。 它 集成 了 故障 转移 集群 和 用 于 扩展 文件 服务 器 的 集群 共 至 卷 (Cluster Shared 
Volumes, CSV)。 

图 4.3 显示 了 存储 空间 的 高 级 视图 。 

服务 大 1 


存储 池 


人 存储 空间 


虚拟 磁盘 1 虚拟 磁盘 2 
图 4.3 存储 空间 的 概述 
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图 4.3 是 存储 空间 的 概览 。 以 下 几 点 摘 述 了 图 表 中 的 组 件 。 

服务 器 1: 图 中 显示 了 一 个 物理 服务 器 。 服 务 器 有 多 个 便 盘 驱动 器 ;有些 人 硬盘 是 固态 硬盘 (SSD)， 有 些 是 标准 
硬盘 (HDD)。 

存储 池 : 图 中 显示 了 硬盘 驱动 器 的 表示 形式 。 存 储 池 是 由 便 盘 驱动 器 创建 的 。 存 储 池 表示 可 用 存储 的 虚拟 化 视 
图 。 不 必 和 针对 单个 磁盘 驱动 器 或 都 ， 而 可 以 针对 特定 的 一 组 人 硬盘 驱动 器 (甚至 混合 便 盘 驱动 器 类 型 )。 

存储 空间 : 术语 “存储 空间 ” 指 由 存储 池 创 建 的 虚拟 磁盘 。 在 存储 空间 级 别 ， 可 指定 虚拟 磁盘 的 属性 ， 例 如 磁 
盘 是 否 具 有 弹性 和 存储 分 层 。 

下 一 节 将 介绍 虚拟 存储 的 一 些 配置 选项 。 


4.4.1 存储 空间 的 配置 选项 


在 部 普 存 储 空 间 时 ， 必 须 在 部 羞 期 间 做 出 特定 的 选择 ， 而 这 些 选 择 对 存储 的 性 能 和 弹性 有 很 大 影响 。 在 开始 配 
置 之 前 ， 理 解 组 织 (或 项 目 ) 的 需求 和 用 例 是 很 重要 的 。 例 如 ， 可 选择 不 同 的 配置 选项 ， 为 单个 位 置 的 小 团队 提供 存 
储 ， 而 不 是 为 整个 公司 提供 存储 。 

其 中 一 个 主要 的 配置 选项 是 要 使 用 的 弹性 类 型 。 弹 性 指 的 是 存储 在 磁盘 不 可 用 的 情况 下 继续 可 用 的 能 力 。 有 三 
种 设置 : 

简单 : 所 谓 简单 弹性 ， 就 是 没有 弹性 ! 这 种 配置 类 似 于 RAID 0 数组 ， 它 将 数据 分 散 到 所 有 可 用 的 磁盘 上 。 没 
有 额外 的 数据 副本 ， 也 没有 柯 偶 校 验 信息 ， 在 驱动 大 失败 的 情况 下 ， 奇 偶 校 验 信息 可 用 来 重建 数据 。 从 好 的 方面 来 
说 ， 简 单 弹性 提供 了 优秀 性 能 。 因 此 ， 如 条 需 要 最 高 级 别 的 性 能 ， 而 不 需要 任何 弹性 ， 这 个 配置 选项 是 最 佳 选择 。 

奇偶 校 验 : 奇偶 校 验 有 时 称 为 “ 探 除 编码 "。 通 过 奇偶 校 验 ， 数 据 和 散布 在 所 有 可 用 的 磁盘 上 。 除 了 数据 外 ， 奇 
偶 校 验 信 息 也 写 入 磁盘 。 如 果 有 足够 的 磁盘 ， 可 选择 将 奇偶 信息 写 入 一 个 或 两 个 磁盘 。 将 奇 个 信息 写 入 两 个 磁盘 ， 
可 以 防止 两 个 磁盘 同时 发 生 故 障 。 奇 侦 校 验 的 缺点 是 因为 奇偶 信息 写 入 磁盘 ， 写 入 性 能 会 受到 影响 。 如 果 工 作 负 载 
要 求 出 色 的 写 入 性 能 , 请 避免 此 选项 ,但 对 于 大 量 的 读 取 操作 , 这 个 选项 可 能 是 最 理想 的 。 这 个 配置 类 似 于 RAID 5。 

镜像 : 在 这 个 配置 中 ， 数 据 和 散布 在 多 个 磁盘 上 。 上 此外， 数据 的 一 个 或 两 个 额外 副本 也 写 入 磁盘 。 根 据 癌 磁盘 写 
入 的 数据 的 额外 副本 数量 ， 镜 像 可 支持 一 个 或 两 个 同时 发 生 的 磁盘 故障 。 镜 像 就 像 RAID 1。 镜 像 是 部 署 最 广泛 的 
弹性 选项 ， 因 为 它 提 供 了 良好 的 通用 性 能 ， 并 支持 磁盘 故障 。 

除了 弹性 外 ， 还 有 其 他 配置 选项 。 以 下 几 点 描述 了 其 他 一 些 选项 。 这 里 没有 列 出 所 有 选项 ， 只 讨论 一 些 使 用 最 
三 泛 的 选项 。 

存储 分 层 : 在 讨论 存储 选项 时 ， 通 常会 为 特定 级 别 的 性 能 分 配 一 个 层 。 例 如 ， 第 0 层 存 储 代表 了 “ 优 中 选 优 ” 
(如 在 企业 首次 引入 SSD 时 )。 第 5 层 位 于 最 奔 层 ， 通 常 表示 可 用 的 最 慢 存 储 (S-ATA 存储 的 性 能 通 第 最 低 ， 但 有 大 
量 空闲 空间 )。 组 织 根据 需要 将 数据 手工 放 在 各 种 层 中 。 例 如 ， 关 键 应 用 程序 可 能 使 用 第 1 层 或 第 2 层 人 存储 。 来 目 
邮箱 的 存档 数据 放 在 第 4 层 或 第 5 层 存储 中 。 手 动 党 理 数 据 是 一 项 艰巨 任务 。 有 了 存储 空间 ， 分 层 束 是 目 动 化 的 。 
存储 空间 将 SSD( 高 性 能 ) 与 HDD( 低 或 较 低 性 能 ) 结 合 在 一 起 ， 并 将 第 用 数据 (“ 热 数据 ”) 目 动 重 新 定位 到 SSD， 而 
将 不 第 访问 的 数据 (“ 冷 数据 ”) 重 新 定位 到 HDD。 和 存储 分 层 提 高 了 存储 性 能 。 

连续 可 用 性 : 存储 空间 使 用 故障 转移 集群 来 交付 高 度 可 用 的 存储 。 可 创建 一 个 池 ， 并 使 其 可 用 于 多 个 节操 。 

回 写 缓存 : 回 写 缓存 将 随机 数据 写 入 SSD 人 存储 的 一 个 特殊 位 置 ， 来 提高 存储 性 能 。 后 来 ， 这 个 仓储 透明 地 重新 
定位 到 HDD。 没 有 回 写 缓存 ， 所 有 数据 从 一 开始 就 写 入 HDD， 降 低 了 性 能 。 


4.4.2 Storage Spaces Direct 


Windows Server 2016 发 布 了 两 个 与 存储 相关 的 新 特性 : 这 里 讨论 的 Storage Spaces Direct 和 第 6 章 中 讨论 的 工 
作文 件 夹 。Storage Spaces 人 允许 一 台 服 务 器 提供 虚拟 化 存储 ， 而 Storage Spaces Direct 允许 多 台 服 务 器 (及 其 本 地 存储 ) 
组 合 起 来 提供 虚拟 化 存储 。 不 需要 专门 的 网 络 来 连接 服务 器 ( 通 瘦 与 存储 区 域 网 络 连接 )，Storage Spaces Direct 利用 
的 是 现 有 网 络 。Microsoft 为 Storage Spaces Direct 确定 了 两 个 特定 用 例 :组 合 存 储 和 计算 (使 用 Hyper-V 服务 器 或 SQL 
服务 器 等 )， 以 及 分 离 存 储 和 计算 。 在 分 离 存 储 和 计算 中 ， 使 用 扩展 文件 服务 器 为 远程 服务 器 (例如 Hyper-V 服务 器 ) 
提供 文件 共享 。 图 4.4 是 Storage Spaces Direct 的 概览 。 
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4.4 Storage Spaces Direct 概览 


图 4.4 展示 了 一 个 小 型 的 存储 空间 目录 环境 ， 这 里 介绍 组 件 : 

服务 器 : 三 个 服务 器 参与 其 中 。Storage Spaces Direct 文 持 多 达 16 台 服 务 器 。 

本 地 和 存储: 在 图 中 , 每 个 服务 器 都 显示 了 本 地 存储 。 它 可 以 是 驱动 器 类 型 (如 SSD 和 HDD) 的 混合 。Storage Spaces 
Direct 文 持 最 多 400 个 驱动 器 和 最 多 1PB 的 存储 。 

SMB: 服务 器 通过 SMB3 进行 通信 。SMB3 最 初 是 在 Windows Server 2012 中 引入 的 ， 它 提供 了 更 高 的 性 能 和 
更 好 的 安全 性 。Storage Spaces Direct 利用 了 SMB Direct 和 SMB 多 通道 ， 两 者 都 是 在 SMB3 中 引入 的 。 

局 域 网 : Storage Spaces Direct 使 用 现 有 网 络 。 这 意味 着 需要 评估 网 络 ， 看 看 引入 Storage Spaces Direct 是 否 有 
意义 。 最 小 推荐 的 NIC 是 10Gbps， 用 于 集群 通信 。 许 多 组 织 还 没有 部 署 10Gbps 的 NIC, 或 者 网 络 本 号 不 文 持 这 种 
速度 。 但 随 着 企业 获得 新 的 硬件 或 公共 云 资 源 ， 这 种 情况 正在 迅速 改变 。 

这 就 是 Storage Spaces Direct 涉及 的 高 级 组 件 。 图 4.5 显示 了 育 合 部 署 选项 ， 有 时 称 为 分 项 部 四 。 
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图 4.5 聚合 的 Storage Spaces Direct 


在 图 4.5 中 ， 在 聚合 组 件 中 使 用 了 图 4.4 和 层 : 

外 扩 文 件 服务 器 : 在 图 4.5 中 ， 两 个 服务 器 作为 一 个 集群 。 

共享 文件 夹 : 在 图 4.5 中 ， 通 过 SMB3 访问 一 个 共享 文件 来。 

Hyper-V 主机 : 在 图 4.5 中 ， 两 个 Hyper-V 主机 各 上 自 有 VM。Hyper-V VM 文件 存储 在 SMB 文件 共享 中 。 

图 4.5 所 示 的 聚合 部 署 与 超 聚 合 部 署 之 间 的 主要 区 别 在 于 , 超 聚 合 部 署 将 所 有 内 容 组 合 在 一 起 。 在 某 种 程度 上 ， 
这 简化 了 工作 ， 部 署 和 管理 更 简单 。 然 而 ， 外 扩 选 项 比较 有 限 ， 整 体 性 能 也 下 降 了 。 超 聚合 部 署 通常 用 于 较 小 的 组 
织 和 部 署 到 次 要 数据 中 心 或 分 支 办 公 室 的 组 织 。 
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对 使 用 Windows Server 2016 VM 尝试 Storage Spaces Direct 感 兴趣 吗 ? 看 看 这 个 来 和 目 微 软 故 障 转移 集群 和 网 络 
负载 平衡 团队 博客 的 分 步 指南 : https://blogs.msdn.microsoft.com/clustering/2015/05/27/testing-storage-spaces-direct- 


usine-windows-server-2016-virtual-machines/。 


4.3 Storage Replica 


Storage Replica 是 Windows Server 2016 中 引入 的 一 种 功能 ， 是 一 种 数据 复制 技术 ， 可 将 数据 从 服务 器 同步 到 服 
务 器 ， 或 者 从 一 个 集群 同步 到 另 一 个 集群 。Storage Replica 的 主要 用 例 是 : 
令 ”将 数据 从 主 数据 中 心 同 步 到 次 数据 中 心 。 例如 , 出 于 灾难 恢复 的 目的 , 将 最 重要 的 数据 复制 到 次 数据 中 心 。 
争 ” 蔡 换 环境 中 的 分 布 式 文 件 系统 (DFS)。 选 择 Storage Replica 可 能 是 因为 它 提供 了 与 DFS 相 比 性 能 更 高 的 同 
步 功 能 。 
令 ”部 四 一 个 故障 转移 集群 ， 其 市 点 位 于 不 同 的 数据 中 心 (“ 延 伸 集 群 ”)。 在 Windows Server 2016 的 1709 版 ， 
延伸 集群 提供 了 目 动 故障 转移 功能 。 
Storage Replica 通常 用 于 在 两 个 独 并 服务 器 之 间 、 两 个 集群 之 间 以 及 延伸 集群 的 节点 之 间 复 制 卷 。 男 一 种 用 法 
虽然 不 那么 流行 ， 是 使 用 Storage Replica “服务 器 目 我 复制 ”模式 。 这 种 模式 下 ， 可 将 卷 从 服务 器 复制 到 目 身 (使 


用 不 同 的 目标 郑 )。 
图 4.6 是 显示 一 个 四 节点 延伸 集群 的 高 级 图 表 。 两 个 节点 在 站 点 1 中 ， 两 个 节点 在 站 点 2 中。 
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4.6 Storage Spaces 延伸 集群 
在 图 4.6 所 示 的 延伸 集群 中 , 每 个 站 点 都 有 目 己 的 本 地 共 侍 存储 。 和 存储 不 在 所 有 集群 节点 上 共享 时 ， 如 图 所 示 ， 
就 称 为 不 对 称 人 存储。 相反 ， 如 果 集 群 中 的 每 个 节点 都 可 访问 存储 (并 获得 其 所 有 者 )， 则 该 存储 称 为 对 称 人 存储。 每 个 
站 点 中 的 两 个 节点 从 本 地 共享 存储 中 读 写 数据 。 共 宫 存 储 使 用 Storage Replica 保持 同步 。 
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4.5.1 复制 类 型 

storage Replica 基于 网 络 拓扑 结构 , 提供 两 种 形式 的 复制 。 第 一 种 形式 是 同步 复制 , 适用 于 局 域 网 或 校园 环境 (高 
性 能 、 低 延迟 )。 同 步 复制 是 配置 Storage Replica 时 的 默认 复制 。 第 二 种 形式 是 异步 复制 ， 它 没有 延迟 要 求 ， 适 用 于 
广域网 (WAIN) 或 具有 高 延迟 的 网 络 。 表 4.3 比较 了 两 种 复制 形式 。 


表 4.3 复制 选项 的 比较 


复制 特性 异步 
i 
在 失败 的 情况 下 ， 零 数据 丢失 否 ， 数 据 丢失 接近 于 夫 


性 能 开销 否 
需要 低 延 迟 网 络 否 ， 延 迟 是 未 知 的 


校园 


on 


图 47 Storage Replica 的 同步 复制 


下 面 的 步骤 描述 了 图 4.7 中 编号 的 步 又。 因此， 列表 中 的 数字 1 对 应 于 图 表 中 的 数字 1。 

(1) 数据 由 应 用 程序 (可 以 是 应 用 程序 、 服 务 、 脚 本 、 用 户 或 其 他 进程 ) 写 入 复制 卷 。 

(2) 日 志 数 据 写 入 源 站 点 ， 数 据 复制 到 远程 位 置 。 这 是 同时 发 生 的 。 

(3) 日 志 数 据 写 入 远程 站 点 。 请 注意 ， 在 将 数据 写 入 数据 卷 之 前 ， 总 是 先 写 入 日 志 。 

(4) 通知 应 用 程序 ， 数 据 已 成 功 写 入 。 此 时 ， 数 据 存 在 于 两 个 不 同 的 位 置 。 这 使 同步 复制 适合 最 重要 的 工作 
负载 。 

(5) 数据 (从 日 志 ) 写 到 源 位 置 和 远程 位 置 的 数据 郑 中 。 

由 于 同步 复制 的 写 入 时 间 较 长 ， 因 此 需要 使 用 高 性 能 网 络 ( 低 延 返 、 高 帝 宽 ) 以 及 高 性 能 的 存储 子 系统 (如 SSD)。 
这 将 有 助 于 尽量 降低 同步 复制 对 性 能 的 影响 。 接 下 来 分 析 异 步 复制 的 过 程 。 图 4.8 显示 了 腊 步 复制 步骤 。 
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图 4.8 Storage Replica 的 异步 复制 


在 下 面 的 列表 中 ， 步 骤 中 的 数字 对 应 于 图 4.8 中 的 数字 。 

(1) 数据 由 应 用 程序 (可 以 是 应 用 程序 、 服 务 、 脚 本 、 用 户 或 其 他 进程 ) 写 入 复制 郑 。 

(2) 日 志 数 据 写 入 源 站 点。 

(3) 通知 应 用 程序 ， 数 据 已 成 功 写 入 。 通 知 应 用 程序 的 顺序 与 同步 复制 不 同 。 对 于 寞 步 复 制 ， 在 确认 数据 传输 到 
远程 位 置 之 前 ， 通 知 应 用 程序 。 在 发 出 通知 时 ， 数 据 只 有 一 个 副本 。 这 使 异步 复制 不 太 适 合用 于 最 重要 的 工作 负载 。 

(4) 数据 复制 到 远程 位 置 。 

(5) 将 日 志 数 据 写 入 远程 位 置 。 

(6) 远程 位 置 证 实 了 数据 的 传送 。 

(7) 数据 (从 日 志 ) 写 入 源 位 置 和 远程 位 置 的 郑 中 。 


4.5.2 部 闭 Storage Replica 


Storage Replica 有 几 个 先决 条 件 。 在 开始 部 署 之 前 ， 需 要 密切 关注 先决 条 件 。 充 足 的 计划 有 助 于 确保 部 灵 符 合 
组 织 的 需求 。 本 章 将 重点 讨论 服务 器 到 服务 器 复制 的 先 雇 条 件 和 部 着 。 在 使 用 集群 到 集群 复制 (例如 拥有 集群 磁盘 ) 
或 延伸 集群 时 ， 有 一 些 额外 的 需求 和 步骤 ， 但 基本 需求 是 相同 的 。 

以 下 是 所 有 服务 器 到 服务 器 存储 复制 的 先决 条 件 : 

Active Directory 域 服务 (AD DS): 需要 有 一 个 现 有 的 AD DS 森林 和 域 ， 服 务 器 必须 连接 到 域 。 

网 络 连接 : 要 复制 的 服务 器 必须 能 够 通过 网 络 进行 通信 。 在 服务 器 之 间 的 两 个 方 回 都 需要 ICMP、SMB (TCP 
端口 445)、SMB Direct (TCP 5445) 和 WS-MAN (TCP 端口 5985)。 

存储 : 可 复制 系统 卷 。 源 服务 器 和 目标 服务 器 至 少 需要 两 个 卷 一 一 一 个 用 于 数据 (将 进行 复制 ), 一 个 用 于 日 志 ( 用 
于 Storage Replica)。 卷 的 大 小 必须 相同 ， 所 有 数据 磁盘 上 的 面 区 大 小 必须 相同 。 磁 盘 必 须 初 始 化 为 GPT 磁盘 。 晶 
志 关 至少 要 有 9GB， 不 过 为 避免 对 存储 空间 和 空 几 空间 进行 微观 管理 ， 增 大 内 存 通常 是 更 好 的 选择 。 

Windows Server 2016 的 数据 中 心 版 : 要 使 用 Storage Replica， 必 须 在 源 服务 器 和 目标 服务 器 上 拥有 Windows 
Server 2016 的 数据 中 心 版 本 。 
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Storage Replica 特性 : 源 服务 器 和 目标 服务 器 必须 安装 Storage Replica 特性 。 

2GB 或 更 多 内 存 ; 至 少 要 有 2GB 内 存 。 对 于 大 多 数 现代 服务 器 来 说 ， 这 不 是 问题 。 在 实验 室 或 测试 环境 中 ， 
有 了 时 可 能 使 用 较 少 的 RAM。 

如 果 使 用 之 有 动态 内 存 的 VM， 可 能 需要 调整 局 动 RAM( 在 Windows Server 2016 Hyper-V 中 仪 显示 为 RAM)。 
2GB 是 绝对 的 最 小 值 ， 建 议 使 用 4GB 或 更 高 的 内 存 ， 以 获得 最 佳 性 能 。 

除了 前 面 列 表 中 的 核心 需求 之 外 ， 还 有 一 些 对 复制 的 性 能 非 凋 重要 的 要 求 (能 满足 这 些 要 求 会 更 好 ): 

高 速 网 络 : 虽然 典型 的 以 太 网 网 络 束 足 够 了 ， 特 别 是 对 于 低 使 用 率 的 小 郑 ， 束 更 是 如 此 ， 但 是 应 该 答 试 使 用 
RDMA( 远 程 直接 内 存 访问 ) 来 满足 高 性 能 需求 。 还 应 该 考虑 给 复制 使 用 专用 的 网 络 ， 了 驶 像 在 环境 中 部 团 iSCSI 采用 
的 方法 那样 。 

低 延 迟 网 络 : 如 果 使 用 同步 复制 ， 就 需要 低 延 迟 。 往 返 时 间 需 要 5 宣 秒 或 更 短 。 如 果 延 返 较 长 ， 则 必须 使 用 异 
步 复制 。 

高 速 日 志 卷 : 为 提高 性 能 ， 应 该 对 日 志 卷 使 用 SSD 存储 。 人 至 少 应 该 对 日 志 卷 使 用 最 快 的 存储 。 

在 配置 环境 并 检查 其 是 否 满 足 先 决 条 件 后 , 就 可 以 使 用 Test-SRTopology cmdlet 验证 环境 了 。 下 例 在 Serverl( 源 ) 
和 Server2( 目 标 ) 之 间 运 行 一 个 30 分 钟 的 测试 ,数据 着 J: 入 :是 日 志 着 ,将 结果 保存 到 D:\Temp。 使 用 管理 PowerShell 
提示 符 ( 必 选 ) 从 源 服 务 器 中 运行 命令 。 

Test-SRTopology -~SourceComputerName Serverl -SourceVolumeName J: -SourceLogVolumeName FK: 


-DestinationComputerName Server2 -DestinationVolumeName J: DestinationLogVolumeName K: 
-DurationinMinutes 30 -ResultPath D: \Temp 


如 果 渍 足 先决 条 件 ， 命 令 将 完成 测试 ， 并 将 结果 保存 到 指定 的 结果 路 径 。 因 为 持续 时 间 是 30 分 钟 ， 所 以 命令 
测试 的 是 性 能 。 可 以 选用 -IgnorePerfTests 参数 来 避免 性 能 测试 (如 果 已 经 测试 了 性 能 ， 这 是 非常 有 用 的 )。 有 20 个 测 
试 。 许 多 测试 都 很 简单 ， 例 如 检查 以 确保 卷 存 在 ， 检 查分 区 是 否 使 用 GPT。 结 果 文 件 是 一 个 HIML 文件 ， 应 该 将 
该 文件 与 任何 相关 的 项 目 文件 一 起 保存 ， 以 备 将 来 引用 。 

如 果 测 斌 成功， 现在 就 可 以 建立 存储 复制 了 。 下 面 的 示例 使 用 相同 的 源 和 目标 服务 器 以 及 相同 的 卷 。 命 令 中 唯 
一 比较 陌生 的 部 分 是 -SourceRGName 参数 。 在 本 例 中 ，RG 表示 复制 组 (Replication Group)。 建 立 存储 复制 时 ， 会 命 
名 复制 组 。 本 例 将 复制 组 命名 为 RGJ( 用 于 复制 组 J， 因 为 要 复制 开卷 )。 


New—-SRPartnership -SourceComnputeTrName Serverl -SourceRGName RGU -SourceVolumeName J: 
-SourceLogVolumeName K: -DestinatijonComputerName Server2 -DestinationRGName RGJ 
-DestinationVolumeName J: -DestinationLogVolumeName KEK: 


在 建立 和 运行 存储 副本 后 ， 可 使 用 Get-SRPartnership 和 Get-SRGroup cmdlet 进行 基本 管理 。 此 外 ， 可 在 Event 
Viewer 中 查看 专用 的 存储 副本 日 志 。 打 开 Event Viewer， 扩 展 Applications and Services Logs， 扩 展 Microsoft， 扩 展 
Windows, 然后 扩展 StorageReplica。 承 会 显示 管理 日 志和 操作 日 志 。 操作 日 志 包 含 关于 正在 进行 的 复制 的 关键 细节 ， 
而 省 理 日 志 包 含 关 于 初始 设置 和 配置 更 改 的 关键 细节 。 

如 果 对 设置 集群 到 集群 的 复制 感 兴趣 ， 请 参阅 https://docs.microsoft.com/en-us/Wwindows-server/storage/storage- 
replica/cluster-to-cluster-storage- replication 获得 步骤 指令 。 如 果 对 建立 拉 伸 集群 感 兴趣 ,请 参阅 https://docs.microsoft. 


com/en-us/Windows-server/storage/storage-replica/ stretch-cluster-replication-using-shared-storage。 


4.6 ”存储 服务 质量 


假设 有 一 个 Hyper-V 环境 ， 其 中 一 个 VM 正在 降低 存储 的 性 能 。 这 也 会 影响 同一 主机 上 的 其 他 VM。 或者, 假 
设 有 一 个 应 用 程序 团队 ， 在 任何 时 候 都 需要 最 少量 的 存储 WO。 在 这 两 个 场景 中 ， 都 可 以 使 用 存储 的 服务 质量 (存储 
QoS)。 存 储 质 量 最 小 化 了 单个 VM 消耗 所 有 可 用 存储 VO 的 机 会 。 它 还 可 以 用 来 帮助 确保 指定 的 应 用 程序 具有 指定 
的 最 小 IO 量 。 这 就 像 基 于 网 络 的 QoS 的 工作 方式 (例如 , 与 数据 流量 相 比 , 语音 流量 有 给 定 的 优先 级 /更 高 的 性 能 )。 
存储 QoS 是 微软 软件 定义 的 存储 解决 方案 的 一 部 分 。 

存储 QoS 文 持 两 个 用 例 。 这 两 个 用 例 涉及 Hyper-V。 一 个 用 例 是 在 故障 转移 集群 中 使 用 Hyper-V， 为 存储 使 用 
扩展 文件 服务 器 集群 。 另 一 个 用 例 是 在 故障 转移 集群 中 使 用 Hyper-V， 为 存储 使 用 集群 共 胖 卷 (CSV)。 

存储 QoS 的 需求 非常 少 。 所 有 参与 的 服务 器 必须 运行 Windows Server 2016。 除 此 之 外 ， 只 需要 拥有 Hyper-V、 
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故障 夸 移 集 群 和 前 面 描 述 的 存储 。 不 上 必 安 装 角 色 ， 不 必 安 疼 功 能 。 实 际 上 ， 甚 至 不 需要 局 用 存储 QoS ! 默认 情况 下 ， 
一 旦 构建 了 具有 所 需 组 件 的 环境 ， 就 会 局 用 它 。 


使 用 存储 QoS 


如 果 决 定 在 环 十 中 使 用 存储 QoS， 则 需要 创建 存储 QoS 策略 。 策 略 分 配给 虚拟 磁盘 (VHD 或 YHDX)。 这 意味 
者 对 于 同一 VM 上 的 多 个 磁盘 ， 可 以 使 用 以 下 两 种 策略 ; 

专用 策略 : 专用 策略 采用 为 IOPS 分 配 的 最 小 值 和 最 大 值 , 并 将 它们 应 用 于 指定 的 虚拟 磁盘 。 例如 , 可 为 Serverl 
和 Server2 设置 至 少 500 个 IOPS、 最 多 1000 个 IOPS。 专 用 策略 易于 管理 ， 通 常 是 高 性 能 工作 负载 的 适当 选择 。 

聚合 策略 : 聚合 策略 采用 为 存储 IOPS 分 配 的 最 小 值 和 最 大 值 ， 并 将 它们 应 用 于 一 组 虚拟 磁盘 。 虚 拟 磁 盘 组 有 
一 个 共享 的 IOPS 池 。 例 如 ， 如 果 为 Server1、Server2、Selrver3 和 Server4 上 的 虚拟 磁盘 设置 了 最 少 500 IOPS、 最 
多 1000 IOPS， 那 么 所 有 服务 器 共 可 使 用 最 多 1000 IOPS( 它 们 之 间 的 访问 权限 最 少 为 500 IOPS)。 如 果 所 有 VM 都 
有 相似 的 性 能 需求 ， 那 么 它们 的 IOPS 也 相似 。 在 这 个 场景 中 ， 每 个 磁盘 至 少 有 125 IOPS。 聚 合 策略 是 非 生产 工作 
负载 、 实 验 室 环境 或 不 需要 高 性 能 存储 的 VM 的 适当 选择 。 

创建 策略 后 ， 可 将 它们 与 虚拟 磁盘 相关 联 。 为 此 ， 可 用 Set-VMHardDiskDrive cmdlet 来 实现 。 使 用 Get- 
StorageQosFlow cmdlet 确保 应 用 了 策略 。 可 使 用 Get-StorageQosPolicy cmdlet( 不 市 任何 参数 ) 得 看 所 有 存储 QoS 策略 。 


4.7 ”本草 要 操 


了 解 Windows Server 2016 中 的 新 存储 技术 。 在 Windows Server 中 存储 的 变化 速度 非常 快 。 要 利用 最 新 的 特 
性 ， 需 要 了 解 功能 、 先 决 条 件 和 部 四 注意 事项 。 除 了 阅读 它们 之 外 ， 还 应 在 实验 室 环 境 中 实现 它们 ， 以 进行 测试 驱动 。 
问题 我们 正在 Windows Server 2016 上 部 四 一 个 新 的 文件 服务 上 器。 数据 完全 由 非 结构 化 数据 组 成 。 一 些 
数据 将 定期 使 用 ， 例 如 Word 和 Excel 文件 ， 这 些 文件 仍然 由 用 户 创 建 和 编辑 。 其 他 数据 将 存储 起 来 ， 用 
于 历史 目的 ， 很 少 阅 读 或 编辑 。 需 要 选择 一 种 存储 技术 来 最 大 化 定期 使 用 的 数据 的 性 能 。 
答案 这 种 情况 下 ， 存 储 分 层 为 定期 使 用 的 数据 提供 了 最 佳 性 能 。 这 是 因为 这 些 数据 存储 在 最 快 的 驱动 器 
上 ， 而 很 少 使 用 的 数据 将 存储 在 性 能 最 低 的 驱动 器 上 。 在 这 个 场景 中 ， 使 用 混合 了 SSD 和 HDD 的 存储 空 
则 ， 尼 用 了 存储 分 层 ， 所 以 可 提供 满足 需求 的 解决 方案 。 
了 解 Windows Server 存储 技术 的 部 署 注意 事项 。 有 时 ， 某 项 技术 会 有 一 些 很 酷 的 新 特性 ， 或 者 提供 非常 卓越 
的 性 能 。 但 仅 赁 这 些 理由 还 不 足以 帮助 你 做 出 部 署 决策 。 还 需要 了 解 其 他 部 署 注意 事项 。 例 如 ， 如 果 部 署 了 一 种 新 
的 存储 技术 ， 束 不 再 能 执行 其 他 操作 吗 ? 或 者 ， 它 是 否 与 服务 器 上 的 其 他 所 有 内 容 兼 容 ? 该 技术 适用 于 你 的 用 例 
吗 ? 这 些 是 在 选择 部 署 策略 之 前 需要 回答 的 问题 。 
问题 “我 们 计划 部 署 存 储 副本 ， 在 不 同 数 据 中 心 的 服务 器 之 间 复 制 数 据 。 服 务 器 通过 广域网 连接 。 延 返 期 
不 长 也 不 短 ， 在 这 个 场景 中 应 该 使 用 哪 种 类 型 的 复制 ? 
答案 ”复制 有 两 种 选择 : 同步 和 异步 。 同 步 复 制 有 低 延 迟 要 求 ， 通 常 部 四 在 LAN 或 MAN( 城 域 网 ) 中 。 在 
这 个 场景 中 ， 对 于 WAN 和 中 等 延迟 ， 需 要 使 用 异步 复制 ( 它 没 有 延迟 需求 )。 
维护 和 支持 Windows Server 存储 环境 。 在 部 署 新 的 存储 技术 后 ， 需 要 使 它们 持续 运行 。 维 护 存 储 技术 与 规划 
或 部 署 它 们 有 很 大 不 同 。 它 需要 完全 不 同 的 技能 和 知识 。 确 保 团 队 在 准备 部 署 新 技术 时 ， 就 已 经 准备 好 文 持 它们 。 
最 好 将 新 技术 部 罩 到 实验 室 或 非 生 产 环境 中 ， 人 允许 支持 团队 在 进入 生产 环境 前 获得 一 些 经 验 。 
问题 ”环境 中 安装 了 Windows Server 2012 R2 和 Windows Server 2016， 和 希望 比较 NTFS 和 ReFS 在 
Windows Server 2012 R2 和 Windows Server 2016 中 的 特性 。 如 何在 服务 器 中 进行 比较 ? 
答案 有 人 可 能 在 想 ,“ 哦 ， 在 服务 器 上 打开 一 个 浏览 器 ， 在 互联 网 上 找到 一 个 比较 图 表 。” 好 主意 ! 但 是 ， 
这 里 其 实 是 在 寻找 一 种 使 用 内 置 工具 进行 比较 的 方法 。 在 这 个 场景 中 ， 可 使 用 fsutil 工具 查看 服务 器 上 现 
有 卷 中 NTFS 和 ReFS 的 特性 , 例如, 运行 fsutil fsinfo volumeinfo D: 查 看 DD: 卷 的 特性 。 然后 , 比较 Windows 
Server 2012 R2 和 Windows Server 2016 支持 的 特性 ， 还 比较 NTFS 和 ReFS 的 特性 。 


网 络 


Windows Server 2016 的 大 部 分 核心 网 络 功能 与 Windows Server 的 之 前 版 本 相同 。 然 而 ， 尽 管 变 化 不 大 ， 网 络 
仍然 是 一 个 重要 功能 。Windows Server 2016 用 于 为 网 络 上 的 客户 闯 提 供 网 络 服务 。 域 名 服务 (DNS) 几 乎 总 在 域 控制 
器 上 安装 和 配置 ， 以 文 持 Active Directory 的 人 使用。 动态 主机 配置 协议 (Dynamic Host Configuration Protocol，DHCP) 
经 常 在 Windows Server 2016 上 配置 ， 为 果 面 电脑 和 其 他 设备 提供 IP 地 址 配置 。 

可 将 Windows Server 2016 配置 为 远程 访问 服务 器 ， 人 允许 客户 只 从 Internet 连接 到 内 部 网 络 。 还 可 以 选用 NLB， 
为 菜 些 应 用 程序 提供 高 可 用 性 。 最 后 ， 可 使 用 SDN( 软 件 定义 网 络 ) 增 强 使 用 Hyper-V 的 虚拟 环境 的 灵活 性 。 


令 
令 ”使 DNS 高 度 可 用 

令 ”为 新 的 子 网 配置 DHCP 
仿 ”配置 VPN 服务 器 

令 ”识别 负载 平衡 的 解决 方案 


5.1 Windows Server 2016 网 络 配 置 


虑 常见 的 设置 ， 比 如 IP 地 址 和 Windows 防火 墙 。 


域 加 入 

首次 安装 Windows Server 2016 时 ， 它 是 名 为 WORKGROUP 的 工作 组 的 一 部 分 。 当 多 台 计 算 机 是 同一 工作 组 
的 成 员 时 ， 就 没有 安全 集成 。 一 个 工作 组 成 员 上 的 用 户 账户 没有 在 其 他 工作 组 成 员 上 使 用 资源 的 权限 。 每 个 服务 器 
都 有 一 个 具有 独立 用 户 和 组 的 本 地 SAM( 安 全 账户 管理 ) 数 据 库 。 

要 将 安全 性 与 Active Directory 域 服务 (AD DS) 中 的 其 他 服务 器 和 用 户 账户 集成 ， 需 要 将 Windows Server 2016 
加 入 域 。 加 入 域 后 ，DA 组 就 成 为 本 地 管理 员 组 的 成 员 ， 域 用 户 组 就 成 为 本 地 用 户 组 的 成 员 。 

将 服务 器 连 加 入 域 后 ， 就 可 修改 安全 设置 ， 并 为 想 要 的 任何 组 提供 权限 。 例如， 应 用 程序 管理 员 通 常 可 访 
问 作 为 应 用 程序 一 部 分 的 服务 器 。 要 给 应 用 程序 管理 员 授 予 访问 权限 ， 可 让 他 们 成 为 服务 器 上 的 本 地 管理 员 组 
的 成 员 。 最 好 只 给 应 用 程序 管理 员 授 予 应 用 程序 中 特定 服务 器 的 访问 权限 ， 而 不 是 让 他 们 成 为 DA 的 成 员 。 


5.1.1 |IP 配置 


要 为 服务 器 配置 IPv4 和 IPv6 设置 ， 请 使 用 与 配置 更 面 计算 机 相同 的 过 程 。 主 要 区 别 是 服务 器 通 第 有 一 个 静态 
IP 地 址 ， 而 桌面 计算 机 通常 有 动态 卫 地 址 。 图 5.1 显示 了 网 络 适 配器 的 IPv4 配置 。 

至 少 ， 服 务 器 应 该 配置 : 

令 ”IPv4 地 址 
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子 网 掩 码 
默认 网 关 
DNS 服务 器 
启用 IPv6 


4 4 


Internet Protocol WErsion 4 (TCP/IPwA) Properties 
General 


YOU can get IP settings assigned automatically it your network suppoarts 
this capabdity, Otherwise, you need to ask your network adrministrator 
the appropriate FP settings. 
DD Obtain an JP address automatically 
(®) Use the following IP address: 
IP address: | .1.1.1| 
Subnet mask: | 255 .255 .255. 0 | 
Default gateway: | 加 .il 


cbtain DMS server sddress sutormatically 


() Use the following DNS server addresses: 


Preferred CNS server: | 如， 1 ,1 ,如 | 


Mliernate DMS server: 


OD validate settings upon exit 


图 5.1 IPv4 配置 


虽然 在 服务 器 上 使 用 动态 IPv4 地 址 在 技术 上 是 可 能 的 ， 但 通常 分 配 静 态 IPv4 地 址 。 这 样 做 是 因为 如 果 DNS 
解析 失败 ， 管 理 员 可 完全 控制 IPv4 地 址 的 分 配 和 访问 服务 器 。 

为 提高 IPv4 地 址 的 长 期 可 管理 性 ,一 些 组 织 使 用 DHCP 预订 .DHCP 预订 是 根据 服务 器 的 MAC 地 址 来 定义 的 。 
然后 , DHCP 服务 器 在 每 次 更 新 时 向 服务 器 分 发 相同 的 IPv4 配置 。 如果 将 来 IPv4 配置 信息 (如 IPv4 地 址 范围 或 DNS 
服务 器 ) 发 生 了 变化 ， 则 可 在 DHCP 中 更 新 信息 ， 而 不 必 和 直接 在 每 个 服务 器 上 更 改 配置 。 

成 员 服 务 器 应 该 只 使 用 内 部 DNS 服务 器 ， 其 中 包含 AD DS 连接 所 需 的 资源 记录 。 在 较 小 的 组 织 中 ， 一 个 常见 
错误 是 将 一 个 DNS 服务 器 配置 为 主 服 务 器 ， 将 一 个 外 部 DNS 服务 器 (如 Internet Service Provider (ISP)) 配 置 为 辅助 
服务 器 。 但 是 ，ISP DNS 服务 器 没有 必需 的 记录 来 找到 用 于 身份 验证 的 域 控制 器 。 如 果 网 络 短 时 间 中 断 ， 主 DNS 
服务 器 不 可 用 ， 服 务 器 就 开始 使 用 辅助 DNS 服务 器 ， 当 用 户 访问 服务 器 上 的 资源 时 ， 就 开始 出 现 身 份 验证 错误 。 
当 Windows Server 2016 开始 使 用 辅助 DNS 服务 器 时 ， 没 有 目 动 机 制 重 新 开始 使 用 主 DNS 服务 器 ， 所 以 可 能 需要 
禁用 并 重新 启用 网 卡 ， 或 者 重新 启动 服务 器 以 解决 问题 。 

在 大 型 和 小 型 组 织 中 ， 另 一 个 常见 错误 是 禁用 IPv6。 这 主要 是 因为 许多 管理 员 不 了 解 ITPv6， 认 为 禁用 IPv6 是 
安全 的 。 然 而 ， 实 际 上 ， 用 IPv6 会 带 来 风险 。 

微软 不 测试 禁用 IPv6 的 应 用 程序 ， 也 不 更 新 。 因 此 ， 在 禁用 IPv6 时 ， 应 用 程序 或 更 新 可 能 无 法 正确 执行 。 在 
禁用 IPv6 时 ， 有 些 应 用 程序 实例 (如 Exchange Server) 会 出 现 错误 。 

另外 , 在 网 络 配 置 中 取消 选中 IPv6 复 选 框 时 , 不 会 完全 禁用 IPv6。 相反 , 它 只 是 部 分 关闭 。 如 果真 想 禁用 IPv6， 
需要 进行 额外 的 注册 表 修 改 。 但 不 建议 这 样 做 。 

当 IPv6 被 局 用 但 没有 配置 时 ， 唯 一 的 IPv6 连接 是 通过 本 地 生成 的 链接 -本 地 地 址 执行 的 。 链 接 -本 地 地 址 类 似 
于 IPv4 的 自动 私有 IP 地 址 (APIPA)。 链 接 -本 地 地 址 是 不 可 路 由 的 ， 但 可 用 于 本 地 网 络 上 的 通信 。 


使 用 ping 和 特定 的 IP 版 本 

ping 实用 程序 用 于 确认 到 远程 主机 的 和 连接。 对 ping 缺乏 响应 并 不 能 保证 远程 主机 是 无 法 访问 的 ， 因 为 防火 墙 
可 能 会 阻止 ping 请 求 。 但 对 ping 的 响应 确认 主机 是 可 访问 的 。 

使 用 ping 时 ， 它 将 使 用 IPv4 或 IPv6， 具 体 取 决 于 DNS 是 如 何 配置 的 。 如 果 它 包含 一 个 名 称 的 IPv4 和 IPv6 地 
址 ， 那 么 IPv6 是 首选 。 要 使 用 特定 的 I 了 P 协议 确认 连接 ， 可 将 其 指定 为 运行 ping 实用 程序 的 一 部 分 。 

。 要 使 用 IPv4 ping 主机 ， 使 用 ping -4 主机 名 。 

。 要 使 用 IPv6 ping 主机 ， 使 用 :ping -6 主机 名 。 


可 使 用 Windows PowerShell 在 Windows Server 2016 中 管理 网 络 。 表 5.1 列 出 一 些 可 用 来 管理 网 络 配 置 的 cmdlet。 
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表 5.1 用 于 网 络 配置 的 Windows PowerShell cmdlet 


cmdlet 描述 
New-NetIPAddress 在 接口 上 配置 新 的 了 P 地址 、 子 网 掩 码 和 默认 网 关 。 这 不 会 删除 现 有 的 全 地址 
Set-NetIPAddress 修改 分 配给 接口 的 了 P 地 址 和 子 网 掩 码 
Remove-NetIPAddress 移 除 分 配给 接口 的 卫 地址 和 子 网 掩 码 
Get-NetRoute 查看 本 地 路 由 表 ， 包 括 0.0.0.0， 这 是 默认 网 关 
New-NetRoute 在 路 由 表 中 创建 新 路 由 
Remove-NetRoute 移 除 路 由 表 中 的 路 由 


Set-DnsClientServerAddress 修改 计算 机 使 用 的 DNS 服务 器 


使 用 Windows PowerShell cmdlet 进行 联网 时 , 注意 对 Active 策略 存储 区 和 Persistent 策略 存储 区 的 引用 。Active 
策略 存储 区 是 查找 操作 系统 当前 使 用 的 设置 的 地 方 。Persistent 策略 存储 区 存储 了 操作 系统 重新 启动 时 应 用 的 设置 。 
大 多 数 cmdlet 都 会 修改 Active 和 Persistent 策略 存储 区 ， 但 可 指定 只 修改 其 中 一 个 。 

有 关 为 网 络 配置 使 用 Windows PowerShell cmdlet 的 详细 信息 ， 请 参见 Windows PowerShell cmdlet for 
Networking， 网 址 是 https://technet.microsoft.com/en-us/library/jj717268(v=wWs.11).aspx。 


5.1.2 网络 适 配 疾 组合 


网 络 适 配 天 组 合 (Network Adapter Teaming) 将 多 个 网 络 适 配 右 的 容量 连接 起 来 ， 以 单个 单元 的 形式 发 挥 作用 。 
配置 包含 两 个 适配器 的 组 合 时 ， 可 同时 使 用 它们 来 提高 吞吐 量 。 网 络 组 合 也 是 容错 的 ， 因 为 如 有 果 组 合 的 一 个 成 员 失 
败 ， 剩 余 的 适 配 髓 将 继续 工作 。 


用 于 虚拟 化 主机 的 网 络 适配器 组 合 

通常 ， 网 络 适 配器 组 合适 用 于 希望 减少 因 网 络 故 障 而 停机 或 需要 增加 网 络 吞 吐 量 的 场景 。 运行 Hyper-V 的 计算 
机 是 虚拟 化 主机 ， 可 利用 这 两 种 优势 。 

虚拟 化 主机 上 的 网 络 故 障 导 致 在 该 主机 上 运行 的 所 有 虚拟 机 的 服务 中 断 。 即 使 将 虚拟 机 配置 为 高 可 用 性 ， 也 会 
出 现 意 外 故障 ， 导 致 停机 。 当 一 个 虚拟 化 主机 可 承载 10 到 20 台 虚 拟 机 时 ， 其 结果 将 对 用 户 产生 很 大 影响 。 连 接 到 
单独 交换 机 的 组 合式 网 络 适配器 为 交换 机 故障 提供 了 容错 能 力 。 

虚拟 化 主机 还 可 利用 网 络 适 配器 组 合 时 增加 的 网 络 吞吐 量 。 对 于 许多 虚拟 机 ,一 个 1Gbps 的 网 络 适配器 可 能 导 
致 网 络 性 能 瓶颈 。 而 组 合 两 个 1Gbps 的 网 络 适 配器 时 ， 该 组 合 的 总 吞吐 量 将 为 2Gbps， 从 而 降低 网 络 知 吐 量 成 为 性 
能 瓶颈 的 风险 。 


使 用 网 络 适配器 制造 商 提 供 的 软件 或 在 Windows Server 2016 中 使 用 NIC 组 合 (NIC Teaming) 功 能 可 配置 网 络 适 
配器 组 合 。 如 果 选 择 使 用 来 目 网 络 适配器 制造 商 的 软件 ， 就 必须 拥有 多 亲口 网 络 适配器 或 相同 类 型 的 网 络 适配器 。 
Windows Server 2016 中 的 NIC 组 合 功能 可 使 用 不 同类 型 的 网 络 适 配器 执行 ， 但 速度 应 该 是 相同 的 。 可 在 一 个 NIC 
组 合 中 安装 至 多 32 个 网 络 适配器 。 

要 配置 NIC 组 合 ， 请 执行 以 下 步骤 : 

(1) 在 Server Manager 的 Navigation 窗 格 中 ， 单 击 Local Server。 

(2) 在 Properties 区 域 中 ， 单 击 NIC Teaming 劳 的 Disabled。 

(3) 在 NIC Teaming 窗口 的 Teams 区 域 ， 单 击 Tasks 并 单 击 New Team。 

(4) 在 NIC Teaming 对 话 框 (如 图 5.2 所 示 ) 中 ， 在 Team name 框 中 输入 新 组 合 的 名 称 。 

(5) 选择 要 包含 在 组 合 中 的 网 络 适配器 ， 并 单 击 OK。 

创建 NIC 组 合 后 ， 将 删除 单个 网 络 适 配器 的 网 络 配置 。 唯 一 仍然 绑 定 到 NIC 组 合 中 每 个 网 络 适配器 的 协议 是 
Microsoft 网 络 适配器 多 路 复 用 协议 。 重 新 创建 一 个 新 的 网 络 适配器 来 表示 NIC 组 合 ， 并 将 典型 的 网 络 协议 绑 定 到 
NIC 组 合 。 可 在 网 络 适 配器 的 属性 中 为 组 合 配置 IP 地 址 和 其 他 网 络 设置 。 

如 图 5.3 所 示 ，NIC Teaming 窗口 显示 了 NIC 组 合 和 每 个 网 络 适 配器 的 状态 。 在 这 里 可 以 得 看、 修改 NIC 组 合 
和 网 络 适配器 的 属性 。 
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NIC Teaming 
New team 


Team name: 


produection Tesr 


Member adapters: 


| 2 
| In Team Adapter Speed state Reason 


Ethemet 10 ‘Gbps 
Ethemet2 10Gbps 


Ca) Additional properties 
Teaming mode: switch Independent 
Load balancing mode: Address Hash 
standby adapter: | None (all adapters Active) 


Primary team interface: ProductionTeam: Default VLAN 


Some settings are not available for servers running in a guest virtual machine. 


面 | MI Tearming 


Bm SERVERS 
国 有 用 Sereers | 1 total 


TEAMS ADAPTERS AND INTERFAGCES 
BI Teams | 1 total | Tasks = | 


leam Shs learmng Made Liad Balsnang Adapters 
Preduection ese [的 Ok Saiteh Indeperndent Address Hash 2 


a Productronleam il 
Ethemet 1Gbps (1) Active 
Ethemet 2 1 Gbps (Tt) Active 


5.3 NIC Teamineg 窗口 


大 多 数 情况 下 ,NIC 组 合 的 默认 配置 是 比较 合适 的 。 它 提供 了 最 好 的 性 能 和 最 少 的 错误 体验 。 但是， 如 果 合 适 ， 
可 以 调整 组 合 模式 、 负 载 平 衡 模 式 、 备 用 适配器 和 主 组 合 接口 。 

组 合 模式 可 以 是 Switch Independent、Static Teaming 或 Link Ageregation Control Protocol(LACP)。 使 用 Switch 
Independent 模式 时 ，Windows Server 将 控制 负载 平衡 过 程 ， 可 将 网 络 适 配器 附加 到 单独 的 交换 机 上 。Static Teaming 和 
LACP 都 是 依赖 于 交换 机 的 模式 ， 在 这 些 模 式 中 ， 交 换 机 做 出 负载 平衡 决策 ，NIC 组 合 中 的 所 有 网 络 适 配器 都 必须 连 
接 到 同一 个 交换 机 (或 堆栈 ) 上 。Static Teaming 模式 需要 静态 配置 交换 机 端口 。LACP 是 一 种 目 动 配置 的 交换 协议 。 

组 合 中 网 络 适配器 之 间 数 据 传输 的 负载 平衡 由 所 选 的 负载 平衡 模式 控制 。 表 5.2 搞 述 了 负载 平衡 模式 。 


表 5.2 NIC 组 合 的 负载 平衡 模式 
模 式 描 述 
地 址 散 列 “| 源 和 目标 TCP 端口 以 及 IP 地 址 用 于 为 每 个 网 络 连接 创建 唯一 标识 符 , 然后 将 其 分 配给 组 合 中 的 特定 网 络 适配器 
Hyper-V 为 Hyper-V 主机 设计 的 带 有 虚拟 机 的 Hyper-V 端口 ， 每 个 虚拟 机 都 有 一 个 用 于 网 络 通信 的 唯一 MAC 地 址 。 根 
端口 据 虚 拟 机 的 MAC 地 址 标识 网 络 连接 ， 并 将 每 个 虚拟 机 分 配给 一 个 网 络 适 配器 
前 两 种 负载 平衡 模式 的 组 合 。 出 站 通信 使 用 地 址 散 列 模式 。 入 站 通信 使 用 Hyper-V 端口 模式 。 这 是 所 有 组 合 模 


式 中 推荐 的 负载 平衡 模式 
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除非 NIC 组 合 中 的 网 络 适 配器 失败 ， 否 则 不 会 使 用 NIC 组 合 中 的 备用 适配器 。 大 多 数 NIC 组 合 都 配置 为 不 使 
用 备用 适配器 。 此 配置 使 用 所 有 可 用 的 成 员 适 配器 。 

只 有 在 网 络 上 使 用 VLAN， 主 组 合 接 口才 相关 。 这 将 VLAN 配置 为 用 于 未 标记 为 VLAN 的 传 入 数据 包 。 如 有 
必要 ， 可 配置 特定 的 VLAN。 

有 关 NIC Teaming 选项 的 详细 描述 ,请 参见 Create a New NIC Team on a Host Computer of VM, 网 址 是 https://docs. 


microsott.com/en-us/WwiIndows-server/networking/technologles/nic-teaming/create-a-new-n1ic-team-on-a-host-computer-or-vm。 
5.1.3 Windows 防火 场 


网 络 安全 是 一 个 多 层次 的 过 程 ， 而 不 是 一 个 特定 的 产品 或 功能 。 安 全 是 用 于 保护 的 战术 组 合 。 更 多 的 层 就 意味 
奢 更 好 的 安全 性 。 然 而 ， 需 要 平衡 安全 性 和 可 用 性 。 如 果 为 了 达到 最 好 的 安全 ， 使 资源 访问 变 得 非常 罕 拙 ， 令 用 户 
或 常理 员 望 而 却步 ， 这 种 安全 就 毫 无 意义 。 

每 个 人 都 知道 ， 需 要 在 企业 网 络 和 Internet 之 间 设 置 网 络 防火 墙 来 控制 访问 。 一 些 较 大 网 络 在 内 部 网 络 中 也 利 
用 网 络 防火 墙 来 控制 不 同 区 域 之 间 的 通信 。 遗 憾 的 是 ， 许 多 组 织 禁 用 Windows 中 包含 的 基于 主机 的 防火 墙 。 这 是 
一 个 不 应 该 禁用 的 重要 安全 层 。 

Windows Server 2016 默认 局 用 Windows 防火 墙 。 默认 配置 允许 所 有 的 出 站 通信 ， 但 根据 规则 限制 入 站 通信 。 
入 站 通信 需要 遵循 特定 规则 。 可 使 用 控制 面板 中 的 简化 界面 (如 图 5.4 所 示 ) 来 党 理 Windows 防火 墙 ， 或 者 使 用 
Advanced Security 工具 来 管理 Windows 防火 墙 。 具 有 Advanced Security 的 Windows 防火 墙 为 配置 规则 提供 了 更 高 


世 Windows Firewall 
个 蕊 } ControlPanel ; System and Security » Windows Firewall w | 人 search Control Panel 


ed ee Help protect your PC with Windows Firewall 
Windows Firevwall can help prevent hackers or malicious softyare from gaining access to your PC through the 
Allow an app or feat Internet or a metwerk, 


Une 
through Windovs Firevall 
| Chamge motification settings | 四 Domain networks Connected (a 
La Turn Windows Firewall on or | 
off Networks at a workplace that are attached to a domain 
嘱 Restore defaults 


Windows Firewall state: On 
La | Advanced settings 


Incoming connections: Block all connectrons to apps that are nat on the ltst 
Troubleshoot my network of allowed apps 
Bctrve 可 rmnialmn netverks 也, [| 
Notification state: Do not notify me when Windows Firewall blocks a 
new app 


| 4 Private networks Not connected (~ 


| 四 Guest or public networks Not connected (~ 


Security and Maintenance 
Network and Sharing Center 


图 5.4 Windows 防火 墙 


1. 配置 文件 

Windows 防火 墙 中 的 配置 文件 用 于 根据 计算 机 的 位 置 调整 设置 。 每 个 配置 文件 都 有 不 同 的 Windows 防火 墙 配 
置 。 可 对 每 个 配置 文件 分 别 启用 或 禁用 Windows 防火 墙 ， 且 可 对 每 个 配置 文件 启用 不 同 的 规则 。 

当 域 连接 的 计算 机 能 与 域 控 制 器 通信 时 ， 将 自动 使 用 域 配置 文件 。 这 是 域 连接 服务 器 最 常用 的 配置 文件 。 

如 果 计 算 机 连接 到 域 网 络 以 外 的 网 络 上 ， 它 就 归 类 为 公共 网 络 或 私有 网 络 。 公 共 网 络 比 私有 网 络 的 限制 更 多 。 
连接 到 一 个 新 网 络 时 ， 系 统 会 提示 对 其 进行 分 类 ， 选 择 适 合 场景 的 配置 文件 非常 重要 。 

具有 多 个 网 络 接 口 的 服务 器 可 为 每 个 网 络 适配器 使 用 不 同 的 配置 文件 。 例如， 配置 为 VPN 服务 器 的 服务 器 可 
以 把 一 个 网 络 适配器 连接 到 内 部 网 络 ， 一 个 网 络 适配器 连接 到 DMZ。 内 部 网 络 上 的 网 络 适配器 将 使 用 域 配置 文件 ， 
与 DMZ 网 络 连接 的 网 络 适 配器 将 使 用 私有 配置 文件 。 
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在 域 网 络 上 使 用 的 公共 配置 文件 

在 排除 错误 时 ， 有 时 会 发 现 服务 器 的 网 络 连 接 归 类 为 公共 网 络 ， 而 不 是 域 网 络 。 使 用 错误 的 配置 文件 将 导致 使 
用 另 一 个 防火 墙 规则 集 ， 可 能 会 阻止 用 户 或 应 用 程序 所 需 的 通信 。 

不 能 与 域 控制 器 通信 的 服务 器 将 阻止 内 部 网 络 正确 地 识别 域 网 络 。 有时， 在 最 近 一 次 启动 服务 器 时 发 生 的 临时 
错误 可 通过 重新 启动 服务 器 来 解决 。 其 他 情况 下 ， 出 错 的 原因 可 能 是 防火 墙 更 改 或 DNS 查找 错误 。 需 要 调查 并 解 


2. 防火 墙 规则 
Windows 防火 墙 预先 配置 了 适用 于 大 多 数 Windows 服务 的 规则 。 例 如 ， 文 件 和 打印 机 共享 、iSCSI、 网 络 肥 现 、 


远程 桌面 和 Windows 远程 管理 都 有 规则 。 对 于 不 同 的 配置 文件 ， 这 些 规则 是 启用 或 禁用 的 。 可 选择 在 每 个 配置 


件 中 启用 和 禁用 规则 。 图 5.5 显示 了 具有 Advanced Security 的 Windows 防火 墙 中 的 入 站 规则 。 


上 苹 Windows Firewall with Advanced ecurity 


File Action View Halp 
项 Windows Firewall with Advanc 
Inbound Rules 
| Dutbournd Rules 
Ms Connection Security Rules 
» a Monitoring 


Name 
Alowyn Router ITCP-In] 
Alloyn Router (UDP-In) 
BranchCache Content Retrieval (HTTP-In) 
BranchCsche Hosted Cache Server (HTT.. 
Branchtache Peer Discowery WSD-In) 
Cast to Device functionality (qW awe= TCP,., 
加 Cast to Device functionality [可 上 Wave-UDP. 
Cast to Device S50P Discowvery (UDP-In) 


本 Cast to Device streaming server (HTTP- St... 
Cast to Device streaming server (HTTP=St... 
全 Cast to Device streaming server (HTTP-St.,. 


BB Cast to Device streaming server [i 
BB Cast to Device streaming server (RTCP-3.,.. 
i Cast to Device streaming server (RTCP-,., 


BB Cast to Device streamind server (RTSP-Str... 
全 Cast to Device streaming server IRTSP.Str 


Cast to Device streaming server (RTSP-Str.,. 
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Cast to Device functionality 
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Cast to Device functionalty 
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Cast to Device functionality 
Ca to Device functionality 
Castto Device functionalty 
Cast to Device functionality 


Filter by Profile 

Filter by State 

Filter by Group 
View 

GB Refresh 

| 吉 Export List.,. 


加 Help 


BB Cast to Device UPnP Events (TCP-In) 
CONM Network Access (DCOM-IN) 


Castto Device functionality 

COM Network Access 
COME Rermate Adrmimistration (DOCOM.In) COM Remate Adrministrati... 

Core Networking = Destination Unreacha..,. Core Networking 

Core Netvorking - Destination Unreacha,, Core Networking 

加 Core Networking =- Dynamic Host Config... Core Networking 

BB Core Netwaorking - Dynamic Host Config.., Core Networking 

加 Core Networking - Intemet Group Mang.,. Core Networking 

Core Netwarking = IPHTTPS (TCP=In) Core Netvorking 

BB Core Networking = IPvé (Pwé=In) Core Networking 

Core Networking = Multicast Listener Do.. Core Networking 

全 Core Metworkina - Multicast Listener Ou,.. Core Networkina 

下 


图 5.5 入 站 规则 


以 前 ， 当 Windows 防火 墙 首 次 在 许多 版 本 中 引入 时 ， 它 阻止 了 许多 应 用 程序 的 工作 。 然 后， 有 必要 修改 防火 
墙 规则 ， 以 使 应 用 程序 再 次 工作 。 大 多 数 现 代 应 用 程序 都 希望 安装 Windows 防火 墙 ， 并 在 安装 过 程 中 添加 应 用 程 
序 所 需 的 规则 。 例 如 ， 在 Windows Server 2016 上 安装 Exchange Server 时 ， 在 安装 期 间 将 创建 所 有 必要 的 客户 机 访 
问 和 邮件 传递 规则 。 但 是 ， 应 该 与 应 用 程序 的 供应 商 一 起 检查 ， 看 看 是 否 需要 对 规则 进行 修改 。 

局 用 文件 和 打印 机 共享 (Echo Request - ICMPvV4-In) 规 则 是 经 常 对 成 员 服 务 器 执行 的 一 项 防火 墙 更 改 。 该 规则 允 
许 服务 器 从 网 络 接收 ping 请 求 。 许 多 管理 员 使 用 ping 来 验证 网 络 连 接 : 如 果 不 局 用 此 规则 ， 则 成 员 服 务 器 不 会 啊 
应 ping 请 求 ， 因 为 Windows 防火 墙 默 认 会 阻止 传 入 请 求 。 在 域 控制 器 上 以 及 在 成 员 服 务 器 上 安装 了 一 些 服务 器 角 
色 时 ， 局 用 此 规则 。 

还 可 以 使 用 具有 Advanced Security 的 Windows 防火 墙 来 创建 目 己 的 防火 墙 规 则 。 应 用 程序 供应 商 提 供 了 防火 
墙 规 则 所 需 的 配置 信息 。 下 面 列 出 一 些 可 纳入 规则 的 准则 : 
TCP 或 UDP 端口 
程序 (可 在 网 络 上 执行 的 通信 ) 
源 和 目标 IP 地 址 
允许 或 拒绝 
配置 文件 


邻 售 邻 今 今 和 仿 
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多 台 计 算 机 的 防火 十 更 改 

大 多 数 防 火 墙 规则 更 改 是 针对 服务 器 组 而 不 是 单个 服务 器 进行 的 。 应 该 使 用 Group Policy 部 署 防火 墙 更 改 ， 而 
不 是 手动 调整 每 个 服务 器 上 的 防火 墙 规 则 。 放 在 Group Policy 对 象 中 的 设置 可 部 署 到 服务 器 组 中 ， 极 大 地 提高 了 实 
现 速 度 。 另 一 个 好 处 是 ， 可 在 一 个 地 方 执行 将 来 的 任何 修改 。 


5S.2 DNS 


由 于 客户 端 使 用 DNS 来 查找 域 控制 器 ， 因 此 DNS 是 Windows 网 络 的 关键 服务 。DNS 也 用 于 将 服务 器 名 解析 
为 IP 地址 。 大 多 数组 织 使 用 运行 在 Windows Server 上 的 DNS 来 支持 AD DS。 因 此 ， 了 解 如 何在 Windows Server 
中 实现 和 维护 DNS 是 很 重要 的 。 

所 有 Windows 客户 机 和 服务 器 都 使 用 动态 DNS 来 注册 其 DNS 名 称 。 注 册 是 由 DNS 客户 机 服务 在 局 动 期 间 执 
行 的 ， 如 果 IP 地 址 发 生 更 改 ， 则 稍 后 再 次 注册 。 计 算 机 的 名 称 在 该 计算 机 所 在 的 域 中 注册 。 例 如 ， 如 果 C-UTIL-01 
是 contoso.com 域 的 成 员 ， 就 用 其 人 P 地 址 注册 C-UTIL-01.contoso.com 。 

域 控制 器 注册 额外 的 DNS 记录 ， 人 允许 Windows 客户 问 定 位 域 控 制 器 ， 如 图 5.6 所 示 。 注 册 Kerberos 和 LDAP 
等 服务 的 服务 位 置 (SRV) 记 录 。SRYV 记录 位 于 子 域 中 ， 例 如 msdcs、_sites、 tcp 和 _udp。 这 些 额 外 的 DNS 记录 由 
netlogon 服务 注册 ， 并 包含 提供 服务 的 服务 器 的 名 称 。 客 户 闪 将 该 名 称 解析 为 一 个 王 地 址 ， 以 访问 服务 。 


ian Wew Halp 


加 | 辣 | 宁 图 邮 忆 | 四 于 | 上 站 目 夯 


Data Tirmmestamep 

[OTOONBAGB] CDEOOTc6... C02017 1:00:00 PM 
[的 [OOD]J[BS] GC-DE-Oeont... T02017 1:00:00 PM 
[OT100][464] C=-DE=01,c0n,., 02017 1:00:00 PM 
[ooo3ea) EC-DC-0OTcon 180792017 1:00:00 Ph 


图 5.6 域 控 制 器 的 SRV 记录 


5.2.1 DNS 区 域 


用 于 AD DS 的 DNS 区 域 是 正 回 查 找 区 域 。 正 加 查找 区 域 可 以 有 多 个 记录 类 型 ， 但 最 稼 用 的 是 将 主机 名 转换 为 
IP 地址。 如果 AD DS 域名 为 contoso.com， 就 需要 一 个 名 为 contoso.com 的 DNS 区 域 以 支持 域 。 表 5.3 列 出 一 些 可 
在 正 同 查找 区 域 中 创建 的 DNS 记录 类 型 。 


表 5.3 DNS 记录 类 型 


A( 主 机 ) 将 名 称 解析 为 IPv4 地 址 
AAAA( 主 机 ) 将 名 称 解 析 为 IPv6 地 址 
CNAME( 别 名 ) 将 名 称 解 析 为 另 一 个 名 称 
MX( 邮 件 交 换 器 ) 标识 接收 该 域 电子 邮件 的 主机 
NS( 名 称 服务 器 ) 标识 该 域 的 权威 服务 器 

SRV( 服 务 位 置 ) 标识 可 以 联系 服务 的 位 置 


TXT( 文 本 ) 提供 了 应 用 程序 可 以 使 用 的 文本 字符 串 
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作为 最 佳 实 践 ， 还 应 该 在 网 络 上 实现 反 向 查找 区 域 。 反 向 查找 区 域 将 IP 地 址 解析 为 名 称 。 当 该 信息 可 用 时 ， 
各 种 实用 程序 和 应 用 程序 都 使 用 它 。 例 如 ， 将 Tracert 实用 程序 与 IP 地 址 一 起 使 用 时 ， 它 将 查找 该 IP 地址 ， 并 将 它 
解析 为 一 个 名 称 。 

反 向 查找 区 域 的 名 称 基 于 计算 机 所 在 的 IP 网络， 以 in-addrarpa 结尾 。 例 如 ， 如 果 IP 网 络 是 172.16.5.0/24， 反 
向 查找 区 域 就 是 5.16.172.in-addr.arpa。 在 反 回 查找 区 域内 是 PTR( 指 针 ) 记 录 , 用 于 将 网 络 上 的 IP 地址 解析 为 主机 名 。 


谁 控 制 区 域 ? 

前 向 查找 区 域 由 注册 DNS 域名 的 人 控制 。 永 远 不 应 该 在 内 部 网 络 上 使 用 由 别人 在 互联 网 上 注册 的 域名 。 过 去 ， 
一 些 组 织 在 内 部 使 用 无 法 在 互联 网 上 注册 的 本 地 域名 ， 但 这 不 再 是 最 佳 做 法 。 相 反 ， 应 该 确保 自己 注册 了 域 。 

反 向 查找 区 域 由 对 网 络 具有 路 由 控制 权 的 人 控制 。 对 于 内 部 网 络 ， 具 有 路 由 控制 权 的 人 就 是 自己 。 因 此 ， 根 据 
需要 为 内 部 网 络 创 建 反 向 查找 区 域 。 通 常 ， 对 于 可 公开 访问 的 IP 地址 ，ISP 创建 并 管理 反 向 查找 区 域 。 然 而 ， 对 于 
一 些 大 型 组 织 ，ISP 可 能 将 解析 过 程 委托 给 其 他 组 织 。 


因为 DNS 是 网 络 上 的 一 个 关键 服务 ， 它 不 应 该 有 单个 失败 点 。 传 统 上 ， 为 使 DNS 高 度 可 用 ， 使 用 主 区 和 辅助 
区 。 所 有 更 新 都 是 针对 主 DNS 区 域 进行 的 ， 更 改 会 定期 复制 到 辅助 区 域 。 当 与 基于 Linux 的 DNS 或 DNS 设备 集 
成 时 ， 仍 然 使 用 这 个 系统 。 

在 Windows Server 2016 中 ， 可 使 用 DNS 服务 器 的 主 区 域 和 辅助 区 域 ， 但 是 有 一 个 问题 。Windows 客户 机 和 服 
务 器 使 用 动态 DNS， 只 能 在 主 区 域 进行 更 改 。 这 意味 着 只 有 一 个 DNS 服务 器 可 以 执行 更 新 。 为 解决 这 个 问题 ， 基 
于 Windows 的 DNS 服务 器 具有 在 AD DS (集成 Active Directory) 中 存储 DNS 区 域 的 独特 功能 。 

因为 它 存储 在 AD DS 中 , 而 不 是 本 地 区 域 文件 , 所 以 多 个 DNS 服务 器 可 更 新 一 个 集成 Active Directory 的 DNS 
区 域 。 实 际 上 ， 这 意味 着 每 个 DNS 服务 器 都 有 一 个 主 DNS 区 域 。AD DS 负责 将 更 改 复制 到 所 有 域 控制 器 ， 其 中 数 
据 可 用 于 需要 它 的 所 有 DNS 服务 器 。 在 基于 Windows 的 网 络 上 ， 典 型 的 DNS 部 署 使 用 Active Directory 集成 区 域 
来 处 理 所 有 正 同 查找 区 域 。 

只 有 同 为 DNS 服务 器 的 域 控制 器 才能 访问 和 更 新 Active Directory 集成 区 域 。 因 此 ， 域 控制 器 通常 也 是 DNS 
服务 器 。 

DNS 作为 服务 器 角色 安装 在 Windows Server 2016 中 ， 名 为 DNS Server。 安 装 DNS 后 ， 可 使 用 以 下 步骤 创建 一 
个 Active Directory 集成 区 域 ; 

(1) 在 Server Manager 中 ， 依 次 单 击 Tools 和 DNS。 

(2) 在 DNS Manager 中 ， 如 有 必要 ， 展 开 服 务 器 ， 右 键 

(3) 在 New Zone Wizard 中 ， 单 击 Next。 

(4) 在 Zone Type 页 面 上 ， 如 图 5.7 所 示 ， 选 中 Primary zone。 


单 击 Forward Lookup Zones， 然 后 单 击 New Zone。 


New Zone \Wizard 


了 人 人 IE Type 
The DNS server supports various types of zones and storage. 


Select the type of zone You want to create: 


(®) Primary zone 
Creates a copy of a zone that can be updated directly on this server. 


Secondary zone 
Creates a copy of a zone that exists on another server, This option helps balance 
the processing load of primary servers and provides fault tolerance. 

ON stub zone 
Creates a copy of a zone containing only Name Server (NS), Start of Authority 
(SOA), and possibly glue Host (A) records. A server containing a stub zone is not 
authoritative for that zone. 


FA] Store the zone in Active Directory (available only if DNS server is a writeable domain 
controller) 


图 5.7 选择 Zone Type 
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(5) 选择 Store the zone in Active Directory (available only 让 DNS server is a writable domain controller) 复 选 框 ， 并 


单 击 Next。 


(6) 在 Active Directory Zone Replication Scope 页 面 上 ， 如 图 5.8 所 示 ， 选 择 适 合 网 络 的 复制 选项 ， 并 单 击 Next。 

(7) 在 Zone Name 页 面 的 Zone Name 框 中 ， 输 入 要 创建 的 区 域 的 名 称 ， 并 单 击 Next。 

(8) 在 Dynamic Update 页 面 上 , 选择 Allow only secure dynamic updates(recommended for Active Directory), 然后 
单 击 Next。 安 全 动态 更 新 防止 未 经 授权 的 计算 机 覆盖 现 有 DNS 记录 。 


(9) 在 Completing the New Zone Wizard 页 面 上 ， 单 击 Finish 。 


创建 新 区 域 后 ， 验 证 新 区 域 在 本 地 服务 器 的 DNS Manager 中 可 见 ， 在 它 应 该 复制 到 的 任何 服务 器 上 都 是 可 见 的 。 
在 单一 位 置 ， 复 制 应 该 在 几 分 钟 内 完成 。 在 物理 位 置 之 间 ， 复 制 可 能 需要 较 长 时 间 ， 这 取决 于 AD DS 复制 的 配置 。 


New Zone Wizard 


Active Directory Zone Replication Scope 


You can select how you want DNS data replicated throughout your network., 


Select how you want zone data replicated: 


OO To 可 DNS servers running on domain controllers in this forest: contoso.com 


(To al DNS servers running on domain controllers in this domain: contoso,com 


OI To a domain controllers in this domain (for Windows 2000 compatbllity): contoso.com 


To a domain conitrallers spedfied in the scope of this directory partition: 


5.8 Active Directory Zone Replication Scope 页 面 


5.2.2 名称 解析 的 处 理 


, 


当 DNS 服务 器 对 域 具 有 权威 性 时 ， 这 意味 着 它 有 该 域 的 专区 副本 。 当 DNS 服务 器 接收 到 该 域 的 请 求 时 ， 它 可 
以 权威 方式 响应 ， 包 括 表 示 记 录 不 存在 的 答案 。DNS 服务 对 域 是 权威 性 的 ， 但 客户 端的 DNS 解析 并 非 仅 限 于 内 部 
DNS。 客 户 机 还 需要 为 Internet 上 的 服务 和 合作 伙伴 组 织 解析 DNS 名 称 。 对 于 不 具有 权威 性 的 DNS 服务 器 ， 可 配 


置 多 个 方法 来 解析 DNS 请 求 。 


根 提示 用 于 识别 负责 某 个 域 的 DNS 服务 器 。 在 Windows Server 2016 中 安装 DNS 服务 器 时 ， 会 自动 配置 根 所 
示 ， 如 图 5.9 所 示 。 这 些 根 提 示 可 能 由 Windows Updates 更 新 ， 但 不 需要 手动 更 新 根 提示 。 注 意 ， 这 些 服务 器 都 在 
Internet 上 ，DNS 服务 器 必须 能 够 访问 Internet， 才 能 使 用 根 服务 器 。 


C-DC-01 Properties 


Debug Logging Event Logging 
Interfaces Forwarders 


Monitoring 


Root Hints 


hoot hints resolve queres for zones that do not exist on the local DNS 
semver. They are Only used i fonwarders are nat configured orfail to 
respond. 


Name servers: 


AROOT-SERVERS.NET 


B.ROOT-SERVERS.NET. 
C.ROOT-SERVERS.NET. 


D.ROOT-SERVERS.NET 


E.ROOT-SERVERS.NET. 
F.ROOT-SERVERS.NET. 
G.ROOT:SERVERS.NET. 
H.ROOT:SERVERS.NET. 


图 5.9 根 提 示 


IP Address A 
[198.41.0.4] [2001 ] 


[192.228.73.201]1 
[192.33.4.12] [200 
[139.7.31.13] [200 


[132.203.230.10 
[192.5.5.241] [200 
[192.112.36. 机 
[198.97.190.53] [2 w 
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1. 非 权 威 性 解析 

许多 组 织 阻止 其 内 部 DNS 服务 器 (通常 是 域 控制 器 ) 直 接 与 Internet 通信 。 这 是 一 般 安全 策略 的 一 部 分 ， 旨 在 保 
护 内 部 服务 器 免 受 Internet 上 的 威胁 。 因 此 ， 使 用 根 提示 来 解析 Internet DNS 记录 对 于 内 部 DNS 服务 器 是 无 效 的 。 
相反 ， 必 须 将 DNS 服务 器 配置 为 将 请 求 转发 给 可 访问 Internet 的 其 他 DNS 服务 器 。 一 些 组 织 在 其 DMZ 中 保留 一 
组 DNS 服务 器 作为 转发 器 。 一 些 较 小 的 组 织 在 ISP 上 使 用 DNS 服务 器 作为 转发 器 。 

在 DNS 服务 器 的 属性 中 配置 转发 器 ， 如 图 5.10 所 示 。 配 置 转发 器 时 ，DNS 服务 器 会 转发 它 不 具备 权威 性 的 任 
何 请 求 。 需 要 在 每 个 DNS 服务 器 上 分 别 配 置 转发 器 。 当 局 用 转发 器 时 ， 不 会 使 用 根 提示。 


C-DC-01 Properties ? XK 


Debug Logging Event Logging Monitoring Security 
Intefaces Forwanders Advanced Root Hints 


Forwarders are DNS servers that this server can Use to resolve DNS 
gueres for records that this server cannot resolve. 


IP Address Server FaDN 
172.16.0.38 dmz-dns1.contoso .com 
172.16.0.39 dmz-dns2? contoso com 


[] Use root hints if no forwarders are available | Edt. | 


Note: | condiional forwarders are defined for a given domain. they will be 
Used inatead of serverJevel fonwarders. To create or view conditional 
Forwarders. navigate to the Conditional Forwarders node in the scope tree. 


[Lok |]| Cance || Mopy || Hep | 
图 5.10 配置 转发 器 


如 果 有 合作 组 织 ， 可 对 特定 DNS 域 使 用 条 件 转 发 器 。 创 建 条 件 转 发 器 时 ， 它 将 配置 DNS 服务 器 ， 以 使 用 合作 
伙伴 的 DNS 服务 器 仅 解 析 指 定 域 的 记录 。 其 他 DNS 记录 仍然 使 用 根 提示 或 标准 转发 器 来 解析 。 与 合作 组 织 有 直接 
的 网 络 连接 或 VPN 连接 时 ， 使 用 条 件 转发 器 尤其 有 用 。 

创建 条 件 转 上 友 器 (如 图 5.11 所 示 ) 时 ， 可 选择 将 转发 器 存储 在 Active Directory 中 。 在 Active Directory 中 存储 条 件 转 
发 器 时 ， 它 会 目 动用 于 所 选 的 DNS 服务 器 。 理 想 情 况 下 ， 为 了 容错 ， 每 个 条 件 转 友 器 中 应 该 有 两 个 DNS 服务 器 。 


New Conditional Fonwarder 让 
DNS Domain: 
IP addresses of the master servers: 


Validated 


192, 168.4. 10| 


区] Store this conditional forwarder in Active Directory, and replicate it as follows: 


|AlDNS servers in this forest 


-Thie will not replicate to DNS servers that are pre-Windows Server 2003 


Number of seconds before forward queries time out: 
The server FODN will not be available if the appropriate Fewerse lookup zones and entries are not 
configured, 


图 5.11 创建 条 件 转发 器 


非 权 威 DNS 域 的 最 后 一 种 方法 是 为 特定 域 使 用 存根 区 域 。 域 的 存根 区 域 包含 域 的 名 称 服务 器 记录 。 配 置 了 存 
根 区 域 的 DNS 服务 器 使 用 NS 记录 来 标识 域 的 DNS 服务器。 在 功能 上 ， 和 存根 区 域 的 行为 类 似 于 条 件 转 发 器 。 但 存 
在 以 下 区 别 : 

令 ”存根 区 域 可 目 动 更 新 NS 记录 ， 适 应 DNS 服务 器 随时 间 的 改变 。 

令 ”存根 区 域 配 置 一 个 主 服 务 器 ， 用 来 得 询 名 称 服务 郁 的 列表 。 

如 果 希 望 名 称 服务 器 随时 间 变 化 ， 束 应 该 使 用 存根 区 域 而 不 是 条 件 转 发 占 。 如 来 需要 直接 控制 请 求 被 转 友 到 哪 
个 DNS 服务 器 ， 束 应 该 使 用 条 件 转 发 妖 。 例 如 ， 防 火 墙 可 能 只 允许 访问 合作 域 的 一 个 DNS 服务 器 子 集 。 


2. 缓存 

为 减少 网 络 上 DNS 查找 的 次 数 ， 需 要 缓存 DNS 请 求 的 结果 。 缓 存 可 发 生 在 DNS 客户 机 和 非 权 威 的 DNS 服务 
器 上 。 例如 , 如 果 客 户 机 请 求 www.contoso.com 的 卫 地 址 ,而 内 部 DNS 服务 器 也 在 DMZ 中 使 用 转发 DNS 服务 器 ， 
那么 结果 将 缓存 在 客户 机 、 内 部 DNS 服务 器 和 DMZ 中 的 DNS 服务 器 上 。 

缓存 的 DNS 得 找 保留 权威 DNS 服务 器 上 配置 的 生存 时 间 (TTL)。 每 个 前 问 查 找 区 域 都 设置 了 默认 的 TTL， 但 
在 特定 的 DNS 记录 上 设置 一 个 TITL， 就 可 覆盖 这 个 设置 。 在 Internet 上 ，DNS 记录 的 TIL 值 曾经 是 24 或 48 小 时 ， 
但 现在 TTL 值 更 常见 的 是 30 或 60 分 钟 。 在 排除 DNS 解析 的 故障 时 ， 碍 看 或 清除 DNS 缓存 可 能 很 有 用 。 

要 查看 Windows 计算 机 上 的 DNS 客户 机 缓存 , 可 使 用 ipconfig /displaydns 或 Get-DnsClient Cache。 为 避免 等 待 
缓存 条 目 超时 ， 可 使 用 ipconfig/flushdns 或 Clear-DnsClientCache。 

对 于 运行 DNS 的 Windows Server 2016 服务 器 ，DNS 服务 器 中 有 一 个 单独 的 缓存 可 供 查 看 和 清除 。 在 Windows 
PowerShell 中 ， 可 使 用 Show-DnsServerCache 和 Clear-DnsServerCache。 还 可 使 用 DNS Manager 查看 和 清除 缓存 。 

在 DNS Manager 中 查看 Cached DNS Lookups 广 扩 : 

(1) 在 DNS Manager 的 Navigation 窗 格 中 ， 单 击 DNS 或 单 击 DNS 服务 器 。 

(2) 单 击 View 祭 单 ， 然 后 单 击 Advanced， 使 Cached Lookups 节点 在 DNS Manager 中 可 见 。 

(3) 选择 Cached Lookups 节点 并 浏览 。 

要 清除 DNS Manager 中 所 有 缓存 的 DNS 查找 ,右键 单 击 Cached Lookups 或 DNS 服务 右 , 然 后 单 击 Clear Cache。 
还 可 以 浏 抠 缓存 的 DNS 玛 找 列表 ， 然 后 删除 单个 条 目 。 重 新 局 动 DNS 服务 也 会 清除 缓存 。 


3. 高 级 名 称 解析 设置 
DNS 服务 器 的 Advanced 选项 卡 上 有 一 些 与 名 称 解析 相关 的 设置 ， 如 图 5.12 所 示 。 大 多 数 情 况 下 ， 不 需要 修改 
这 些 设置 ， 但 为 了 保险 起 见 ， 了 解 这 些 设置 是 很 有 用 的 。 


C-DC-01 Properties ? 斌 


Debug Logging Event Logging Meonitoring Security 
Interfaces Forwarders Advanced Root Hints 


Server Version number: 
10.0 14393 (0x3839) 


ViEnable netmask ordering 
WSecure cache against pollution 


| 


Load zone data on startup: | From Active Directory and registy ~ | 


|_| Enable automatic scavenging of stale records 


图 5.12 高 级 DNS 设置 
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名 称 解析 的 高 级 设置 包括 : 
令 ”Disable recursion。 局 用 此 选项 时 ，DNS 服务 器 仅 啊 应 其 具有 权威 性 的 请 求 。 不 使 用 根据 示 或 转发 器 。 默 
认 情 况 下 禁用 此 选项 。 


令 ”Enable round robin。 当 局 用 此 选项 时 ， 单 个 主机 名 可 以 解析 为 多 个 卫 地 址 。DNS 服务 器 将 回 请 求 客户 机 
提供 主机 的 所 有 可 用 人 P 地 址 。DNS 轮 询 用 于 实现 一 种 简单 类 型 的 负载 平衡 ， 以 便 在 服务 器 故障 时 提供 高 
可 用 性 。 大 多 数 大 型 组 织 都 使 用 基于 硬件 的 负载 平衡 器 ， 具 有 更 高 级 的 特性 ， 而 不 是 DNS 轮 询 。 默 认 情 
况 下 启用 DNS 轮 询 。 

雪 Enable netmask ordering 。 当局 用 此 选项 时 ， 使 用 DNS 轮 询 时 提供 的 结果 将 根据 DNS 客 尸 机 的 IP 地 址 
进行 排序 。 最 接近 客户 器 下 地 址 的 IP 地 址 在 列表 的 项 部。 理论 上 ， 这 人 允许 客户 站 联系 最 近 的 可 用 主机 。 
如 果 不 局 用 此 选项 ， 则 列表 的 顺序 是 随机 的 。 此 选项 默认 为 局 用 。 


4. DNS 策略 

DNS 策略 是 Windows Server 2016 中 的 一 个 新 特性 ， 它 允许 DNS 服务 器 根据 请 求 的 特征 对 DNS 查询 提供 不 同 
的 啊 应 。 可 以 基于 以 下 特征 创建 策略 : 
客户 子 网 
服务 器 接口 的 卫 地 址 
正在 查询 的 名 称 
查询 类 型 
一 天 中 的 时 间 

能 够 使 用 客户 子 网 作为 特征 , 就 允许 创建 对 位 置 敏 感 的 DNS。 如 果 没 有 DNS 策略 , 要 创建 对 位 置 敏感 的 DNS， 
束 可 能 要 创建 多 个 DNS 服务 器 ,并 配置 DNS 客户 机 , 来 使 用 正确 的 DNS 服务 器 。 现在 可 以 拥有 一 个 DNS 服务 器 ， 
它 根 据 客户 机 位 置 提供 不 同 的 啊 应 。 例 如 ， 有 一 个 记录 Wsus.contoso.com， 客 户 问 使 用 它 来 下 载 更 新 。 可 将 该 记录 
配置 为 给 每 个 位 置 解析 最 近 的 Windows Server Update Server (WSUS)。 

默认 情况 下 ， 一 个 区 域 范围 用 于 解析 DNS 请 求 。 为 了 提供 蔡 代 的 啊 应 ， 需 要 做 以 下 工作 ; 

令 ”创建 额外 的 区 域 范 围 。 

令 ”创建 引用 区 域 范围 的 策略 。 

令 ”创建 DNS 记录 ， 分 配给 区 域 范围 。 

DNS Manager 中 没有 可 用 的 DNS 策略 管理 。 需 要 使 用 PowerShell cmdlet， 例 如 Add- DnsServerClientSubnet、 
Add-DnsServerZoneScope、Add-DnsServerResourceRecord 和 Add-DnsServerQuery ResolutionPolicy。 

有 关 实 现 DNS 策略 的 详细 信息 ， 请 参阅 DNS Policy Scenario Guide， 网 址 是 https://docs.microsoft.com/en-us/ 
windows-server/networking/dns/deploy/dns-policy-scenario-eguide。 


5.2.3 删除 陈旧 的 DNS 记录 


随 着 时 间 的 推移 ， 计 算 机 将 在 退役 时 从 网 络 中 删除 。 默 认 情况 下 ， 为 这 些 计算 机 注册 的 动态 DNS 名 称 不 会 
从 DNS 中 删除 。 需 要 局 用 清除 功能 来 删除 不 再 需要 的 旧 动 态 DNS 记录 。 默 认 情 况 下 ， 手 动 创 建 的 静态 DNS 记 
录 不 会 在 清除 过 程 中 上 自动 删除 。 选 择 Delete this record when it becomes stale 选项 ， 可 为 静态 DNS 记录 局 用 清除 
功能 。 

要 局 用 清除 功能 ， 需 要 在 主 DNS 服务 器 和 DNS 区 域 上 局 用 它 。 如 果 使 用 Active Directory 集成 专区 ,就 只 需要 
在 一 个 DNS 服务 器 和 DNS 区 域 中 局 用 清除 功能 。 该 服务 器 所 做 的 更 改 将 通过 AD DS 复制 到 其 他 DNS 服务 器 。 可 
在 多 个 DNS 服务 器 上 局 用 清除 功能 ， 以 提供 清除 功能 的 容错 能 力 ， 但 这 并 不 重要 。 

清除 过 程 的 时 机 并 不 直观 。 表 5.4 列 出 了 三 个 相关 时 间 段 。 


表 5.4 ”清除 过 程 的 时 间 自 

时 间 段 描述 

创建 动态 DNS 记录 后 ， 无 刷新 间隔 定义 了 一 个 时 间 段 ,在 此 期 间 记录 上 的 时 间 蕉 不 会 更 新 。 这 避免 了 AD DS 
中 不 必要 的 更 改 。 默 认 值 是 7 天 


4 4 


无 刷新 闻 隅 
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( 续 表 ) 
时 间 段 描述 
在 无 刷新 闻 隔 过 期 后 ， 刷 新 间隔 是 记录 上 的 时 间 共 可 以 更 新 的 时 间 段 。 如 果 DNS 客户 机 在 此 期 间 执行 动态 
刷新 闻 隔 。 ”| DNS 更 新 ， 则 会 更 新 时 间 戳 ， 并 重新 开始 无 刷新 间隔 。 如 果 刷 新 间隔 到 期 而 没有 更 新 ， 则 可 以 清除 记录 。 刷 
新 闻 隔 的 默认 值 是 7 天 
洁 除 期间 。 | 清除 期 间 定义 了 DNS 服务 器 检查 DNS 记录 的 频率 ， 以 找到 可 用 的 清除 记录 。 当 发 现 可 用 的 清除 记录 时 ， 将 
删除 这 些 记录 。 默 认 的 清除 周期 是 7 天 


可 使 用 DNS Manager 修改 老化 和 清除 的 设置 。 还 可 使 用 Set-DnsServerScavenging 和 Set-DnsServerZoneAging。 
5.2.4 你 护 DNS 


应 该 实现 的 最 基本 安全 级 别 是 针对 Active Directory 集成 DNS 区 域 的 安全 动态 更 新 。 打 开 此 选项 ， 可 确保 只 有 
注册 了 主机 名 的 原始 客户 机 才能 更 新 该 主机 名 的 卫 地 址 。 

如 果 使 用 辅助 区 域 作 为 DNS 配置 的 一 部 分 ， 就 应 该 在 主要 区 域 的 属性 上 配置 区 域 传输 的 安全 性 。 默 认 情 况 下 ， 
是 不 允许 区 域 传输 的 。 启 用 区 域 传输 时 ， 应 该 将 它们 限制 为 允许 的 合法 DNS 服务 器 。 可 将 区 域 传输 限制 为 特定 的 
IP 地 址 ， 或 域 的 名 称 服务 器 列 出 的 服务 器 。 

为 防止 DNS 欺骗 (未 经 授权 的 DNS 服务 器 拦截 和 响应 DNS 请 求 )， 可 实现 域名 系统 安全 扩展 (DNSSEC)。 实 现 
DNSSEC 时 ,来 自 权 威 DNS 服务 器 的 响应 将 经 过 数字 签名 以 证 明 其 真实 性 。DNS 记录 的 数字 签名 存储 在 相应 的 资 
源 记录 签名 (RRSIG) 记 录 中 。 

与 其 他 需要 从 证 书 颁 发 机 构 获 得 证 书 的 加 密 方 法 不 同 ，DNSSEC 所 需 的 加 密 密 钥 是 由 Windows Server 2016 中 
的 DNS 服务 器 生成 的 。 对 于 每 个 区 域 ， 一 个 DNS 服务 器 被 指定 为 负责 管理 签名 密 钥 的 主要 掌控 者 。 

主要 掌控 者 为 每 个 区 域 生 成 至 少 一 个 主 签名 密 钥 (KSK) 和 一 个 区 域 签名 密 钥 (ZSK)。ZSK 用 于 为 区 域 中 的 记录 
生成 RRSIG。KSK 用 来 在 ZSK 上 进行 数字 签名 。 图 5.13 显示 了 在 Windows Server 2016 中 为 DNS 服务 器 创建 ZSK 
时 可 用 的 选项 。 


New Zone Signing Key (ZSK) 


Guid 
Guid: 
KeyY Properties 
cryptographic algorithm: 
Key length (Bits): 
Select a key storage provider to generate and store keys: 
DNSKEY signature validity period (hours): 
DS signature validity period (hours): 
Zone record validity period (hours): 
Key Rollover 
| Enable automatic rollover 
Rallover fraquency (days): 
Delay the first rollover by (days): 


NR Lo | 
图 5.13 ”ZSK 选项 


需要 验证 数字 签名 有 效 性 的 客户 端 和 非 权 威 DNS 服务 器 使 用 另外 两 种 DNS 记录 类 型 .DNSKEY 记录 包含 KSK 
和 ZSK 的 公 钥 。 这 些 DNSKEY 记录 添加 为 信任 点 ， 以 表明 它们 是 有 效 的 ， 应 该 被 信任 。 这 类 似 于 指定 应 该 信任 目 
签名 证 书 。 

釜 普 内 部 使 用 区 域 的 步骤 如 下 : 

(1) 打开 DNS Manager。 

(2) 在 DNS Manager 中 ， 如 有 必要 ， 展 开 服 务 器 ， 然 后 展开 Forward Lookup Zones。 

(3) 右键 单 击 要 签署 的 区 域 ， 指 向 DNSSEC， 并 单 击 Sign The Zone。 
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(4) 在 Zone Signing Wizard 中 ， 单 击 Next。 

(5) 在 Signing Options 页 面 上 ， 单 击 Use default settings to sign the zone， 并 单 击 Next。 

(6) 检查 配置 并 单 击 Next。 

(7) 当 区 域 签 名 完成 时 ， 单 击 Finish。 

(8) 在 DNS Manager 中 ,注意 签 普 的 区 域 现在 有 一 个 锁定 图 标 。 

(9) 右键 单 击 签 名 的 区 域 ， 指 癌 DNSSEC， 并 单 击 Properties。 

(10) 在 区 域 的 DNSSEC properties 对 话 框 中 , 单 击 Trust Anchor 选 项 卡 ,选择 Enable the distribution of trust anchors 
for this zone 复 选 枉 ， 然 后 单 击 OK。 

(11) 在 WwWaming 对 话 框 中 ， 单 击 Yes。 

(12) 在 Updating Your Zone 对 话 框 中 ， 单 击 OK。 

(13) 在 Trust Points 文件 夹 中 ， 验 证 区 域 现在 出 现 了 两 个 DNSKEY 记录 。 可 能 需要 按 FS 来 刷新 数据 。 

(14) 关闭 DNS Manager。 

有 关 DNSSEC 及 其 在 Windows Server 2016 中 的 实现 的 详细 拍 述 ， 请 参见 DNSSEC in Windows Server 2012， 网 址 是 
https://technet.microsoft.com/en-us/library/dn593694(v 一 ws.11).aspx。 这 个 功能 在 Windows Server 2016 中 还 没有 更 新 。 


5.2.5 监视 DNS 并 排除 故障 


与 DNS 相关 的 大 多 数 问 题 不 会 是 DNS 服务 器 中 的 功能 问题 。 当 主机 名 没有 像 预期 的 那样 解析 时 ， 很 可 能 出 现 
配置 错误 。 

要 验证 DNS 服务 器 的 基本 功能 ， 可 以 使 用 DNS 服务 器 中 内 置 的 监视 工具 。 在 DNS Manager 的 Monitoring 选 
项 卡 上 查看 服务 器 的 属性 时 ， 可 选择 执行 简单 查询 和 递归 查询 。 简 单 查 询 验 证 DNS 服务 器 是 否 啊 应 对 其 权威 区 域 
的 请 求 。 递 归 碍 询 确 认 DNS 服务 器 可 解析 它 不 具有 权威 性 DNS 记录 。 简单 查询 和 递归 查询 可 以 按 需 执行 或 按 计划 
执行 ， 但 通常 只 按 需 执行 。 

还 可 以 使 用 Performance Monitor 监视 DNS 服务 器 的 性 能 计数 器 。 这 允许 查看 区 域 传输 、 动 态 更 新 请 求 和 递归 
得 询 等 项 的 详细 性 能 统计 数据 。 这 些 性 能 计数 器 通 季 只 在 试图 解决 特定 的 性 能 问题 时 使 用 。 

默认 情况 下 ，Windows Server 2016 中 的 DNS 服务 器 配置 为 将 错误 、 和 警告 和 其 他 事件 记录 到 DNS 服务 器 的 事件 
日 志 中 。 使 用 Event Viewer 浏览 到 Applications and Services Logs， 可 查看 此 日 志 的 内 容 。 还 可 将 记录 的 事件 限制 为 
错误 ， 或 错误 和 警告 。 然 而， 最 好 的 做 法 是 为 所 有 事件 保留 日 志 。 

DNS 服务 器 的 事件 日 志 不 包含 在 服务 器 上 执行 的 查询 的 信息 。 如 果 需 要 跟踪 针对 DNS 服务 器 的 单个 查询 ， 以 
排除 故障 ， 就 需要 在 DNS 服务 器 的 属性 中 启用 Debug Logging， 如 图 5.14 所 示 。 可 选择 记录 有 关 DNS 服务 器 正在 
执行 的 操作 的 许 细 信息 。 


C-DC-01 Properties ? A 


Interfaces Forwarders Advanced Root Hints 
Debug Logging Evernt Logging Maendanng Security 


To assist with debugging, You can record the packets sent and received by 
the DNS server to a log file. Debug logging i disabled by default 

bl] Log packets for debugging 

Packet direction: Transpart protocol: 

EA Outgoing | salectat [UDP select tt 
Fl naaming least one [A TCP east one 


Packet contents: Packet type: 
bw] Queries/ Transifers lw] Request select tt 


回 Updates .Beledt 起 Response 1 leaat one 
L] Notifications 
Other options: 
[LLeg unmatched incoming response packets 
L | Details 
L |] Flter packets by IP address Filter... 
Lag fie 


File pathandname: |C"*DnsLog\DnsDebug td 
Maimum size (bytes): |500000000 ] 


L_ ok || Cmca 


图 5.14 DNS 调试 日 志 
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调试 日 志 可 生成 大 量 数据 。 默 认 的 日 志文 件 大 小 为 500MB， 如 果 想 查看 一 段 时 间 内 的 DNS 查询 ， 那 么 这 个 大 
小 通 第 是 必需 的 。 确 保 选 择 足 够 大 的 文件 大 小 以 捕获 所 需 的 数据 。 由 于 生成 了 大 量 数 据 ， 调 试 日 志 记 录 通 弟 只 在 试 
图 解决 特定 问题 时 才 局 用 。 


快速 DNS 故障 排除 工具 

如 果 需 要 测试 DNS 名 称 解析 ， 验 证 名 称 解 析 是 否 正 确 的 最 简单 方法 是 使 用 ping 实用 程序 。 通 过 名 称 链接 主机 
时 ， 该 名 称 会 解析 为 进程 的 第 一 部 分 。 即 使 对 ping 请 求 没有 响应 ， 仍 然 可 以 看 到 名 称 已 解析 . 

要 快速 测试 反 向 DNS 查找 ， 可 使 用 带 有 -选项 的 ping 实用 程序 。 为 IP 地 址 运行 ping -a 时 ，ping 实用 程序 执行 
反 向 DNS 查找 ， 以 查找 主机 名 。 如 果 主 机 名 未 显示 ， 就 说 明 反 向 DNS 查找 失败 了 。 


用 于 DNS 故障 诊断 的 最 常用 工具 是 Nslookup。 使 用 Nslookup 可 为 任何 想 要 的 域 查询 各 种 记录 类 型 。 使 用 Nslookup 
的 另 一 个 重要 优点 是 能 选择 要 得 询 的 DNS 服务 器 。 图 5.15 显示 的 Nslookup 在 Internet 上 查询 DNS 服务 器 8.8.8.8， 


以 解析 Wwww.microsoft.com 。 


eu Administrator: Command Prompt 


5.15 Nslookup 


Dig 是 一 个 类 似 于 Nslookup 的 工具 ， 用 来 查询 DNS 信息 。Dig 通 瘦 在 Linux 环境 中 使 用 ， 一 些 管理 员 喜 欢 在 
Windows 中 使 用 它 。 然 而 ，Dig 并 未 包括 在 Windows Server 2016 中 ， 需 要 从 互联 网 下 载 它 。 

DCDiag 是 一 个 测试 域 控制 器 的 许多 配置 方面 的 工具 。 它 可 以 做 的 一 件 事 是 验证 在 DNS 中 创建 了 正确 的 记录 ， 
可 以 定位 域 控制 器 。 要 特别 测试 DNS 功能 ， 运 行 dcdiag /test: dns。 

最 后 ， 对 于 详细 的 故障 排除 ， 可 能 需要 使 用 包 嗅 探 器 。 包 嗅 探 器 监控 通过 网 络 发 送 的 数据 包 ， 并 把 它们 解码 成 
一 个 可 读 格 式 的 软件 。 调 斌 日志 仪 允许 查看 服务 器 级 别 的 活动 ， 而 使 用 包 咒 探 器 可 从 单个 客户 并 的 角度 查看 活动 。 
微软 有 一 个 比较 老 的 包 嗅 探 器 Network Monitor， 现 在 仍然 很 流行 ， 有 一 个 更 新 的 包 咒 探 器 Microsoft Message 
Analyzer， 还 有 一 种 流行 的 开源 包 嗅 探 器 Wire Shark。 这 三 个 包 嗅 探 器 都 可 供 免费 下 载 。 


3S.3 DHCP 


动态 主机 配置 协议 (DHCP) 用 于 为 客户 端 动态 提供 人 P 地 址 配置 。 虽 然 可 以 使 用 DHCP 配置 服务 器 ， 但 它 更 多 地 
用 于 客户 机 。 

当 计 算 机 配置 为 使 用 动态 IP 地 址 时 ， 在 局 动 时 按 以 下 步骤 进行 : 

(1) 客户 新 发 送 DHCPDiscover 包 。 这 是 所 有 可 用 DHCP 服务 器 都 可 以 啊 应 的 广播 。 

(2) 所 有 DHCP 服务 器 都 发 送 DHCPOffer 包 。 这 个 包 中 包含 客户 端 可 使 用 的 IP 寻 址 信息 。 

(3) 客户 端 发 送 DHCPRequest， 表 明 它 接受 DHCPOffer。 接 收 的 第 一 个 DHCPOffer 是 被 接受 的 。 所 有 DHCP 
服务 器 都 能 识别 哪个 DHCPOffer 被 接受 ， 这 样 它 们 就 不 会 把 地 址 保留 太 久 。 
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(4) DHCP 服务 器 使 用 DHCPAck 响应 。 这 表明 DHCP 知道 DHCPOffer 被 接受 ， 客 户 端 可 开始 使 用 DHCPOffer 
中 的 IP 地 址 信息 。 

由 于 路 由 器 几乎 总 是 阻止 广播 包 在 网 络 之 间 传 递 ，DHCP Discover 包 通 常 不 能 通过 路 由 器 从 一 个 网 络 跨 到 另 一 
个 网 络 。 为 允许 一 个 DHCP 服务 器 为 多 个 子 网 服务 ， 需 要 实现 DHCP 中 继 。DHCP 中 继 侦 听 子 网 上 的 DHCP 包 ， 
并 通过 DHCP 服务 器 将 DHCP 包 转 发 到 子 网 。DHCP 服务 器 使 用 DHCP 中 继 的 卫 地 址 来 识别 发 出 请 求 的 子 网 ， 并 
在 子 网 上 提供 DHCPOffer。 


实现 DHCP 中 继 

Windows Server 2016 包括 DHCP 中 继 代 理 作 为 路 由 和 远程 访问 的 一 部 分 。 将 服务 器 放 在 要 服务 的 子 网 上 ， 并 
向 DHCP 中 继 代 理 提供 DHCP 服务 器 的 IP 地 址 。 在 大 型 组 织 中 ， 可 能 有 许多 子 网 需要 DHCP 服务 ， 而 将 Windows 
服务 器 放 在 每 个 子 网 上 作为 DHCP 中 继 是 不 切合 实际 的 。 

大 多 数 路 由 器 也 有 DHCP 中 继 功 能 。 大 多 数组 织 使 用 它们 的 路 由 器 进行 DHCP 中 继 ， 因 为 路 由 器 已 经 连接 到 
所 有 子 网 。 这 个 特性 在 路 由 器 配置 中 通常 称 为 IP 助手 ， 而 不 是 DHCP 中 继 。 


要 在 Windows Server 2016 中 安装 DHCP 服务 器 角色 ， 请 完成 以 下 步骤 : 

(1) 在 Server Manager 中 ， 单 击 Manage 并 单 击 Add Roles And Features 。 

(2) 在 Add Roles and Features Wizard 中 ， 单 击 Next。 

(3) 在 Select Installation Type 页 面 上 ， 单 击 Role-Based Or Feature-Based Installation， 然 后 单 击 Next。 

(4) 在 Select Destination Server 页面 上 ， 选 择 要 安装 DHCP Server 角色 的 服务 器 并 单 击 Next。 

(5) 在 Select Server Roles 页 面 上 上， 选择 DHCP Server 复 选 杠 ， 单 击 Add Features， 然 后 单 击 Next。 

(6) 在 Select Features 页 面 上 ， 单 击 Next。 

(7) 在 DHCP Server 页 面 上 ， 读 取信 息 ， 然 后 单 击 Next。 

(8) 在 Confirm Installation Selections 页 面 上 ， 单 击 Install。 

(9) 在 Installation Progress 页 面 上 ， 等 竺 安装 完成 ， 然 后 单 击 Close。 

在 DHCP 服务 器 安装 好 后 ， 需 要 经 过 授权 才能 开始 为 请 求 提供 服务 。 授 权 是 DHCP 服务 器 在 AD DS 中 读 取 的 
一 个 设置 。 这 样 做 是 为 了 防止 DHCP 服务 器 意外 地 为 请 求 提 供 服务 ， 并 加 客户 问 提 供 不 正 确 的 配置 信息 。 


流 谍 DHCP 服务 器 

当 未 授权 的 DHCP 服务 器 连接 到 网 络 时 ， 可 向 客户 发 送 不 正确 的 配置 信息 。 基 于 Windows 的 DHCP 服务 器 可 
以 通过 授权 控制 ， 但 非 微 软 DHCP 服务 器 没有 授权 机 制 。 

大 多 数 情 况 下 ， 当 一 个 或 多 个 客户 机 配置 了 不 正确 的 DHCP 地 址 时 ， 就 会 识别 出 一 个 流 谍 DHCP 服务 器 。 在 
网 络 上 建立 一 个 基于 Linux 的 DHCP 服务 器 是 很 罕见 的 ， 除 非 建立 测试 实验 室 的 IT 工作 人 员 偶 然 为 之 。 更 常见 的 
场景 是 网 络 用 户 添 加 未 经 授权 的 网 络 设备 ， 如 具有 DHCP 功能 的 无 线 接 入 点 (AP)。 

跟踪 流 谍 DHCP 服务 器 是 很 难 的 ， 因 为 需要 根据 DHCP 服务 器 的 MAC 地 址 来 执行 。 但 是 ， 通 过 使 用 MAC 地 
址 ， 以 及 查看 交换 机 路 由 表 中 的 MAC 地 址 ， 应 该 能 够 识别 附加 流氓 DHCP 的 特定 交换 机 端口 。 


DHCP 服务 器 可 为 IPv4 和 IPV6 提供 IP 寻 址 信息 。 然 而 ， 在 内 部 使 用 IPv6 相对 少见 ， 本 节 主 要 讨论 使 用 IPv4。 
如 果 选 择 实 现 DHCPv6， 有 两 种 模式 : 
令 ”无 状态 的 。 这 种 模式 下 ，DHCP 客户 端 基 于 本 地 路 由 器 的 路 由 器 广告 ， 在 网 络 上 生成 自己 的 IPv6。DHCP 
服务 器 仍然 提供 DNS 服务 器 等 DHCP 选项 。 
令 ”有 状态 的 。 这 种 模式 下 ，DHCP 客户 端 配置 了 来 自 DHCP 服务 器 的 了 Pv6 地 址 。 这 类 似 于 DHCPv4 的 工作 
rik 


5.3.1 DHCP 范围 


要 将 DHCP 服务 器 配置 为 开始 同 客 尸 机 分 发 地 址 ， 需 要 创建 一 个 范围 。 该 范围 定义 了 IP 地 址 范围 ， 以 及 子 网 
掩 人 码 和 默认 网 头等 选项 。 
要 创建 IPv4 范围 ， 可 执行 以 下 步 又: 
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(1) 在 DHCP 管理 控制 台 上 ， 如 有 必要 ， 展 开 服 务 器 然后 单 击 IPv4。 

(2) 右键 单 击 IPv4， 然 后 单 击 New Scope。 

(3) 在 New Scope Wizard 中 ， 单 击 Next。 

(4) 在 Scope Name 页 面 上 的 Name 框 中 ， 输 入 范围 的 名 称 ， 然 后 单 击 Next。 这 个 名 称 应 该 有 意义 ， 以 便 理解 
它 在 哪里 使 用 。 

(5) 在 IP Address Range 页 面 中 ， 如 图 5.16 所 示 ， 输 入 正确 的 开始 也 地 址 、 结 束 人 P 地 址 和 子 网 掩 码 ， 然 后 单 
击 Next。 


New Scope Wizard 


IP Address Range pe 
Tou define the scope address range by identiying a set of consecutive |P addresses. 人 


— Configuration settings for DHEP Server 
Enter the range of addresses that the scope distributes. 


Stat IP address: [10. 1 .1 .1 
End IP address: [10 1 .1 .254 


Corfiguration settngs that propagate to DHCP Client 


Length: | 


Subnet mask: | 255 255 .255. 0 


(6) 在 Add Exclusions and Delay 页 面 上 ， 输 入 范围 内 不 应 该 提供 给 客户 的 任何 卫 地 址 。 例 如 ， 可 能 有 一 个 为 打 
印 机 保留 的 卫 地 址 范围 。 

(7) 在 Subnet Delay In Millisecond 框 中 ， 可 输入 此 范围 在 啊 应 之 前 应 该 等 待 的 宣 秒 数 ， 然 后 单 击 Next。 延 迟 在 
一 些 高 度 可 用 的 场景 中 使 用 ， 但 通常 不 使 用 。 

(8) 在 Lease Duration 页 面 上 ， 输 入 希望 客户 能 够 使 用 IP 地 址 的 时 间 ， 然 后 单 击 Next。 

(9) 在 Configure DHCP Options 页 面 上 ， 单 击 No，I will configure these options later 然后 单 击 Next。 

(10) 在 Completing the New Scope Wizard 页 面 上 ， 单 击 Finish。 

(11) 在 DHCP 管理 控制 台 上 ， 右 键 单 击 范围 然后 单 击 Activate。 正 如 DHCP 服务 器 需要 激活 一 样 ， 范 围 也 
需要 激活 。 

创建 一 个 范围 时 ， 默 认 租 期 长 度 是 8 天 。 客 户 端 将 符 试 以 50% 的 租 期 (4 天 ) 与 原始 DHCP 服务 器 续签 租约 ， 如 
果 不 成 功 ， 则 以 87.5% 的 完成 率 续签 (7 天 )。 如 果 租 约 到 期 时 还 不 能 续 约 ， 客 尸 新 就 会 丢失 其 IP 地 址 配置 ， 可 能 会 
从 为 一 人 台 DHCP 服务 器 上 获得 租约 ， 或 者 开始 使 用 APIPA 地 址 。 

虽然 8 天 确保 客户 机 可 在 较 长 时 间 内 使 用 IP 地 址 ， 但 这 也 会 使 网 络 更 改变 得 困难 。 例 如 ， 如 果 想 为 一 个 范围 
更 改 子 网 掩 码 ， 它 最 早 可 能 在 4 天 内 生效 ， 因 为 客户 问 在 续签 之 前 不 会 得 到 更 新 信息 。 为 便于 执行 网 络 更 改 ， 应 该 
使 用 更 短 的 租用 时 间 。 许 多 组 织 使 用 一 天 的 租赁 时 间 。 在 变化 非常 大 的 网 络 上 ， 例 如 客户 无 线 网 络 ， 可 将 租用 时 间 
控制 在 一 小 时 以 内 。 

在 创建 范围 后 ， 可 选择 创建 预订 。 预 订 是 在 范围 内 提供 给 特定 DHCP 客户 机 的 IP 地 址 。DHCP 服务 器 根据 客 
户 机 的 MAC 地 址 标识 客户 机 。 因 此 ， 需 要 在 预订 之 前 识别 客户 端的 MAC 地址。 或者， 可 选择 现 有 的 租约 ， 并 将 
其 转换 为 预订 。 预 订 的 IP 地 址 必须 位 于 范围 内 配置 的 IP 地 址 池 中 。 

在 客户 闫 需要 一 致 IP 地 址 的 任何 情况 下 ， 痢 可 以 使 用 预订 。 有 些 组 织 为 与 客户 计算 机 位 于 同一 子 网 上 的 打印 
机 使 用 预订 。 对 于 需要 特定 防火 墙 规则 来 访问 安全 资源 的 计算 机 ， 也 可 以 为 其 配置 预订 。 

当 使 用 预订 而 不 是 静态 卫 地 址 时 ， 更 改 计 算 机 或 设备 的 卫 地 址 比较 容易 。 静 态 卫 地 址 通常 需要 通过 访问 每 个 
设备 来 更 改 。 可 在 DHCP 管理 控制 台 集中 更 改 DHCP 预订 。 

这 里 列 出 了 两 种 很 少 使 用 的 特殊 范围 类 型 : 

人 争 。” 超 级 范围 。 超 级 范围 将 两 个 现 有 范围 合并 成 一 个 逻辑 范围 。 将 第 二 个 子 网 添加 到 现 有 网 络 时 ， 将 使 用 此 类 型 。 

例如 ， 网 络 最 初 可 能 只 有 192.168.2.0/24 网 络 段 ， 但 由 于 缺少 人 P 地 址 ， 将 192.168.3.0/24 添加 到 同一 段 中 。 
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争 ” 多 播 范围 。 有 些 应 用 程序 使 用 多 播 地址 同时 问 多 台 计 算 机 上 发送 网 络 数据 包 。 例 如 ， 将 操作 系统 映像 部 普 到 
新 计算 机 。 如 有 果 应 用 程序 可 使 用 DHCP， 惑 可 以 配置 一 个 多 播 范围 ， 为 应 用 程序 提供 多 播 地 址 。 


5.3.2 DHCP 选项 


DHCP 范围 的 最 基本 配置 只 向 客户 端 提 供 IP 地 址 和 子 网 掩 码 。 然 而 ， 要 实现 功能 ， 大 多 数 客户 机 至 少 还 需要 
默认 网 关 和 DNS 服务 器 。DHCP 可 通过 配置 DHCP 选项 ， 将 附加 信息 作为 租约 的 一 部 分 。 

这 里 列 出 最 常见 的 DHCP 选项: 

倒 003 路 由 器 

令 ”006 DNS 服务 器 

令 ”015 DNS 域名 

可 为 服务 器 、 范 围 或 预订 配置 DHCP 选项 。 特 定 级 别 的 设置 有 很 高 的 优先 级 。 例 如 ， 为 预订 配置 的 选项 将 履 盖 
为 范围 配置 的 选项 。 

在 DHCP 服务 器 服务 的 整个 网 站 上 ，DNS 服务 器 和 DNS 域名 通常 是 一 致 的 。 因 此 ， 通 常 在 服务 器 级 别 配置 这 
些 选 项 。 

每 个 子 网 中 计算 机 的 默认 网 关 是 唯一 的 。 因 此 ， 路 由 器 配置 选项 是 为 每 个 范围 配置 的 ， 如 图 5.17 所 示 。 


Scope Options 


Pvailable Options 
L] O02 Time Offset 


10.1.1.1 Remowe | 
Up 


图 5.17 ”Scope Options 对 话 框 


5.3.3 DHCP 策略 和 过 滤器 


还 可 以 使 用 DHCP 过 滤器 和 和 集 略 来 控制 如 何 将 设置 传递 给 DHCP 客户 端 。 每 个 服务 器 要 分 别 配置 过 滤器 。 可 
在 服务 器 或 范围 级 别 配 置 策略 。 

过 滤器 只 定义 客户 机 是 被 允许 的 还 是 被 拒绝 的 。 不 能 使 用 过 沽 器 为 客户 定义 选项 。 有 单独 的 Allow 和 Deny 列 
表 ， 它 们 在 默认 情况 下 是 禁用 的 。 每 个 列表 根据 MAC 地 址 标识 客户 。 过 滤 行 为 不 同 ， 具 体 取 决 于 局 用 了 哪个 过 滤 
列表 : 


令 ”只 局 用 Allow 列表 时 ， 所 有 客户 机 都 会 被 拒绝 ， 除 非 它们 在 Allow 列表 中 。 

令 ”只 月 用 Deny 列表 时 ， 所 有 客户 机 都 被 允许 ， 除 非 它 们 在 Deny 列表 中 。 

令 ”局 用 Allow 和 Deny 列表 时 ， 所 有 客户 问 都 会 被 阻 故 ， 除 非 它 们 在 Allow 列表 中 。 但 是 ， 如 果 客 户 机 在 
Allow 和 Deny 列表 中 ， 则 客户 机 被 阻塞 。 


用 于 通配符 的 过 滤 颖 

在 只 需要 控制 几 个 客户 机 的 情况 下 ， 可 为 过 滤器 使 用 单个 MAC 地 址 ， 但 如 果 要 排除 大 量 的 客户 机 ， 这 种 方 
法 会 很 繁杂 。 人 例如， 如 果 想 确保 IP 电话 永远 不 会 从 DHCP 服务 器 获得 IP 信息， 就 需要 输入 每 个 IP 电话 的 MAC 
地 址 。 
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为 了 简化 过 滤器 配置 ， 可 以 使 用 通配符 。 由 于 硬件 供应 商 有 特定 的 MAC 地 址 范围 ， 因 此 可 以 使 用 通配符 阻塞 
来 自 特定 供应 商 的 客户 机 。 例 如 ， 如 果 IP 电话 供应 商 的 MAC 地 址 都 以 AA-AA-AA 开头 ， 就 可 以 在 Deny 过 滤器 
中 使 用 AA-AA-AA-* 来 阻塞 所 有 IP 电话 。 


策略 包含 一 组 条 件 和 DHCP 选 项 .条件 定义 了 应 用 策略 的 客户 奖 。 给 匹配 条 件 的 客户 区 提供 策略 中 定义 的 DHCP 
选项 。 这 可 用 于 为 运行 独特 软件 的 客户 机 提供 该 软件 所 需 的 额外 选项 。 
这 里 列 出 了 用 于 构建 条 件 的 标准 : 
供应 商 类 
用 户头 
MAC 地 址 
客户 标识 符 
完全 限定 的 域名 
中 继 代 理 信 息 


5.3.4 高 可 用 性 


DHCP 协议 不 包含 任何 高 可 用 性 的 功能 。 部 分 原因 是 ， 当 DHCP 在 短 时 间 内 无 法 使 用 时 ， 影 响 有 限 。 有 时 ， 
DHCP 服务 器 可 以 重新 局 动 ， 并 且 不 会 影响 任何 客户 中， 因为 它们 已 经 有 了 租约 。 

有 些 环境 使 用 两 个 DHCP 服务 器 来 提供 高 可 用 性 。 但 是 ， 由 于 DHCP 服务 器 不 进行 协调 ， 因 此 需要 在 作用 域 
中 为 每 个 DHCP 服务 器 配置 一 个 独立 范围 的 卫 地 址 。 当 客户 请 求 租 赁 时 ,两 个 DHCP 服务 器 都 会 啊 应 。 在 一 台 DHCP 
服务 器 上 为 作用 域 添 加 延迟 ,有效 地 将 该 DHCP 服务 器 指定 为 作用 域 的 辅助 服务 器 ， 因 为 客户 机 选择 了 提供 的 第 一 
个 租约 。 该 作用 域 通常 被 分 为 80/20， 主 DHCP 服务 器 配置 为 分 发 80% 的 IP 地 址 。 

这 种 老式 的 高 可 用 性 方法 只 是 权宜 之 计 ， 它 不 是 很 有 和 效 ， 因 为 20% 的 地 址 是 保留 的 。 它 也 没有 复制 配置 信息 ， 如 
选项 或 DHCP 预订。 为 解决 这 些 问题 ， 在 Windows Server 2012 中 ，DHCP 服务 器 角色 增加 了 真正 的 高 可 用 性 ， 它 仍 
然 是 Windows Server 2016 中 DHCP 角色 的 一 部 分 。DHCP 的 高 可 用 性 可 在 热 备份 模式 或 负载 平衡 模式 下 配置 。 

在 热 备 份 模式 中 ， 一 个 DHCP 服务 器 是 作用 域 的 主要 服务 器 ， 男 一 个 DHCP 服务 器 是 备用 节点 。 如 果 主 节操 
失败 ， 备 用 节点 就 开始 为 请 求 提供 服务 。 当 站 点 中 有 一 个 本 地 DHCP 服务 器 ， 另 一 个 DHCP 服务 器 在 男 一 个 站 所 
上 时 ， 这 种 配置 非常 有 用 。 本 地 DHCP 服务 器 配置 为 主 DHCP 服务 器 。DHCP 中 继 是 在 两 个 站 点 之 间 配 置 的 。 

在 负载 平衡 模式 下 ， 两 个 DHCP 服务 器 都 啊 应 客户 的 租用 请 求 。 然 而 ， 两 个 DHCP 服务 器 要 相互 协调 ， 以 防 
止 重 复 的 DHCPOffer。 例 如 ， 如 果 作 用 域 分 为 50/50， 每 个 DHCP 服务 器 将 响应 50% 的 租约 请 求 。 如 果 其 中 一 个 
DHCP 服务 器 出 现 故 障 ， 为 一 个 DHCP 服务 器 将 接管 整个 作用 域 ， 并 发 出 租约 。 这 种 模式 最 适用 于 两 个 DHCP 服务 
器 位 于 同一 站 点 (如 大 型 办 公 室 ) 的 情况 。 

要 配置 DHCP 的 高 可 用 性 , 需要 创建 DHCP 故障 转移 关系 。 每 个 DHCP 服务 器 最 多 可 以 有 31 个 故障 转移 关系 。 
一 个 故障 转移 关系 可 用 于 多 个 DHCP 作用 域 。 

虽然 术语 “故障 转移 关系 ”上 听 起 来 类 似 于 Windows Server 的 故障 转移 集群 特性 ， 但 是 DHCP 中 的 故障 转移 关 
系 是 完全 独立 的 技术 。 还 可 在 故障 转移 集群 中 配置 DHCP 服务 器 以 获得 高 可 用 性 ， 但 不 建议 这 样 做 ， 因 为 它 比 在 
DHCP 中 使 用 故障 转移 关系 要 复杂 。 

要 创建 故障 转移 关系 ， 可 执行 以 下 步骤 : 

(1) 在 DHCP 控制 人 台中， 右键 单 击 IPv4 节点 或 作用 域 ， 然 后 单 击 Configure Failover。 

(2) 在 Configure Failover 回 导 的 mtroduction to DHCP failover 页 面 中 , 选择 希望 高 度 可 用 的 范围 ， 并 单 击 Next。 
默认 情况 下 ， 所 有 范围 都 被 选中 。 

(3) 在 Specify the partner server to use for failover 页 面 上 ， 单 击 Add Server。 

(4) 在 Add Server 对 话 框 的 This server 框 中 ， 输 入 合作 伙伴 的 服务 器 名 称 ， 然 后 单 击 OK。 或 者 ， 可 浏览 特定 
的 服务 器 。 

(5) 在 Specify the partner server to use for failover 页 面 上 ， 单 击 Next。 

(6) 在 图 5.18 所 示 的 Create a new failover relationship 页 面 上 ， 配 置 适 当 的 设置 ， 并 单 击 Next。 

(7) 在 Summary 页 面 上 ， 单 击 Finish。 
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Configure Failover 


Create a new failover relationship 


Lreate a New failover relationship with partner ec-dc-02 contoso com 


Relationship Name: cde01.contoso com-c-de-02.contoso.com 


Masimum Client Lead Time: 1 二 hours | 0 minutes 


Mode: Load balance 
-Load Balance Percentage 
Local Server: 


Partiner Server: 


[State Switchover Interval: 
fw Enable Message Auithentication 


Shared Secnat: 


图 5.18 创建 一 个 新 的 故障 转移 关系 


(8) 在 Configure Failover 对 话 框 中 ， 读 取 任 务 状态 ， 并 单 击 “关闭 ”。 
(9) 现在 ， 验 证 配置 的 作用 域 在 两 个 服务 器 上 都 存在 。 


5.3.5 DHCP 数据 库 


Windows DHCP 服务 器 的 配置 信息 存储 在 数据 库 中 。 除 了 进行 备份 外 ， 不 需要 管理 或 维护 这 个 数据 库 。 默 认 情 
况 下 ，DHCP 数据 库 位 于 C:\Windows\System32\dhcp。 

如 果 在 修改 DHCP 作用 域 或 预订 时 出 错 ， 备 份 DHCP 数据 库 非 常 有 用 。 默 认 情 况 下 ，DHCP 配置 每 60 分 钟 自 
动 备份 一 次 。 可 使 用 Get-DhcpServerDatabase cmdlet 来 查看 DHCP 数据 库 的 配置 ， 如 图 5.19 所 示 。 


PS CAUSerswvadnmn1s 二 rataor CONTOSDO> Get=DhcpServerDatabase 


Fi leName : C:\Windows \system32\dhncp\dhncp.mdb 

BackupPath : C:\Windows\system32\dhcp\backup 

BackupIntervaltm) : 60 
G0 


CleanupInterval(m) : 60 
LoggingEnabled : True 
RestoreFromBackup : False 


图 5.19 DHCP 数据 库 配置 


在 旧 的 Windows 服务 器 版 本 中 ,备份 和 恢复 DHCP 数据 库 是 将 DHCP 配置 迁移 到 新 服务 器 的 最 佳 方法 。 但 是 ， 
现在 故障 转移 已 经 可 用 ， 故 障 转 移 是 将 DHCP 配置 迁移 到 新 服务 器 的 首选 方法 。 


5.4 ”还 程 访问 


今天 网 络 上 的 用 户 希 望 工作 的 时 间 和 地 点 都 可 以 目 由 选择 。 也 就 是 说 ， 他 们 期 行 流动 性 。 第 一 个 第 见 的 移动 应 
用 程序 是 电子 邮件 ， 现 在 每 个 人 的 笔记 本 电脑 、 手 机 和 平板 电脑 上 都 有 。 几 乎 所 有 的 应 用 程序 都 可 以 提供 给 移动 用 
户 。 问 题 在 于 为 每 个 应 用 程序 选择 正确 的 方法 。 通 币 ， 可 用 于 远程 访问 的 选项 是 虚拟 专用 网 (VPN)、 远 程 果 面 服务 
(RDS) 和 Web 应 用 程序 。 

VPN 通过 Internet 为 远程 客户 问 提 供 到 内 部 网 络 的 连接 。 当 客户 机 连接 到 VPN 时 ， 可 为 它们 提供 对 文件 服务 
器 、 数 据 库 和 其 他 网 络 资源 的 访问 。 加 密 通 过 Internet 传输 的 所 有 数据 ， 可 以 保护 到 公司 网 络 的 连接 。 当 数据 到 达 
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公司 网 络 时 ， 将 被 解密 并 传递 到 适当 的 内 部 服务 器 。 

使 用 VPN 的 一 个 关键 考虑 因 系 是 延 返 。 延 人 返 是 指数 据 通 过 网 络 传输 所 用 的 时 间 。 即 使 Internet 连接 具有 最 高 的 
速度 (之 冤 )， 当 应 用 程序 来 回执 行 大 量 通 信 时 ， 高 延迟 会 导致 性 能 下 降 。 与 公司 网 络 上 的 计算 机 相 比 ，VPN 的 延迟 
时 间 较 长 。 因 此 ， 许 多 应 用 程序 在 VPN 连接 上 运行 得 很 大 。VPN 最 适合 于 简单 的 通信 场景 (如 打开 文档 )， 而 不 是 
运行 与 数据 库 通信 的 应 用 程序 。 

要 远程 运行 果 面 应 用 程序 ，RDS 提供 了 良好 性 能 。RDS 允许 在 RDS 服务 器 或 虚拟 果 面 上 运行 应 用 程序 ， 只 把 
屏 刊 绘制 命令 发 送 回 远程 客户 闫 。 因 为 应 用 程序 运行 在 存储 数据 的 数据 中 心中 , 所 以 延迟 对 应 用 程序 来 说 不 是 问题 。 

为 本 地 支持 远程 用 户 ， 许 多 应 用 程序 现在 创建 为 基于 Web 的 应 用 程序 。 基 于 Web 的 应 用 程序 在 Web 服务 器 上 
运行 应 用 程序 代码 ， 并 将 屏幕 信息 作为 Web 页 面 发 送 回 客户 机 。 通 过 这 种 方式 ， 基 于 Web 的 应 用 程序 可 以 避免 延 
返 问题 。 基 于 Web 的 旧 应 用 程序 的 用 户 界 面 非常 有 限 , 但 现代 基于 Web 的 应 用 程序 有 非常 丰富 的 功能 。 例如，Web 
上 的 Outlook For Exchange Server 电子 邮件 几乎 具有 与 果 面 Outlook 客户 机 相同 的 功能 。 此 外 ， 作 为 Office 365 的 一 
部 分 ， 微 软 提 供 了 基于 Web 的 Word、Excel 和 PowerPoint 版 本 。 

Windows Server 2016 中 的 Remote Access 服务 器 角色 包括 以 下 角色 服务 : 

令 DirectAccess 和 VPN(RAS)。 此 角色 服务 允许 将 服务 器 用 作 VPN 服务 器 。DirectAccess 是 一 个 专门 的 VPN 


服务 器 。 
令 路 由 。 此 角色 服务 允许 将 服务 器 配置 为 路 由 器 。 虽 然 不 是 第 用 于 局 域 网 LAN)， 但 这 对 于 测试 环境 中 的 虚 
拟 机 很 有 用 。 


令 ”Web 应 用 程序 代理 (WAP)。 这 个 角色 将 基于 Web 的 应 用 程序 与 Internet 隔 开 ， 来 保护 它们 。WAP 是 一 个 
反 向 代理 ， 控 制 Internet 客户 机 和 基于 Web 的 应 用 程序 之 间 的 通信 。 


5.4.1 VPN 


Windows Server 2016 可 用 于 回 客 户 靖 提 供 VPN 连接 。 大 多 数 防 火 墙 还 可 配置 为 癌 客 户 端 提 供 VPN 连接 。 大 多 
数 大 型 组 织 在 防火 墙 中 使 用 专门 的 设备 或 功能 。 不 使 用 Windows Server 2016 作为 VPN 服务 器 时 ， 可 能 需要 安装 特 
定 于 供应 商 的 VPN 客户 端 软件 。 

除了 提供 客户 机 到 服务 器 的 VPN 连接 外 ， 还 可 以 提供 站 点 到 站 点 的 VPN 连接 。 站 点 到 站 点 的 VPN 通常 用 于 
连接 到 Intemet 上 的 分 支 位 置 。 尽 管 可 将 Windows Server 2016 用 于 站 点 到 站 点 的 VPN，, 但 很 少 这 样 做 。 防火 墙 通常 
用 于 配置 站 点 到 站 点 的 VPN。 


1. VPN 协议 

Windows Server 2016 支持 几 种 不 同 的 VPN 协议 。VPN 协议 定义 了 如 何 执行 身份 验证 以 及 如 何 加 密 数 据 。 
Windows Server 2016 仍然 支持 旧 协 议 , 但 新 协议 更 安全 。 表 5.5 描述 了 可 用 的 VPN 协议。 默认 情况 下 , 将 Windows 
Server 2016 作为 VPN 服务 器 局 用 时 ， 所 有 这 些 协 议 都 是 局 用 的 。 


表 5.5 VPN 协议 
VPN 协议 摘 述 
PPTP 是 一 种 较 旧 的 协议 ， 不 再 被 认为 是 安全 的 。 不 应 该 使 用 PPTP， 因 为 它 太 容易 捕获 用 于 身份 验证 


ER 的 用 户 名 和 密码 。 一 些 组 织 继续 使 用 PPTP， 因 为 它 很 容易 实现 ， 并 且 受 到 防火 墙 的 广泛 文 持 。 
要 允许 PPTP 通过 防火 墙 ， 需 要 允许 TCP 端口 1723 和 GRE 包 。GRE 数据 包 是 IP 协议 类 型 47 
L2TP VPN 实际 上 是 用 于 隧道 挖 据 的 L2TP 和 用 于 加 密 的 IPsec 的 组 合 。 这 个 VPN 协议 比 PPTP 更 安全 ， 
但 也 更 难 配置 ， 因 为 L2TP 和 IPsec 都 需要 经 过 身份 验证 。 

向 2 屋 隧道 访 议 L2TP 通过 用 记名 和 密码 进行 身份 验证 ， 但 是 ，IPsec 有 三 个 身份 验证 选项 : 

争 ” 预 共享 密 钥 (密码 ) 可 在 客户 机 和 VPN 服务 器 上 配置 。 然 而 ， 由 于 所 有 客户 端 计算 机 共享 相同 的 密 


钥 ， 因 此 这 是 相对 不 安全 的 。 
令 ”可 信和 的 证 书 可 在 客户 机 和 VPN 服务 器 上 配置 .为 证 书 恰当 维护 的 公共 密 钥 基础 设施 (PKD 非 常安 全 ， 
但 将 证 书 分 发 给 非 域 连 接 的 客户 机 可 能 很 麻烦 。 
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( 续 表 ) 
VPN 协议 描 述 
全 计算 机 与 VPN 服务 器 位 于 相同 的 域 时 ， 可 使 用 Kerberos 身份 验证 。 域 上 的 计算 机 在 加 入 域 时 已 经 
第 2 层 隧 道 协 议 使 用 了 Kerberos 身份 验证 。 
(L2TP) 要 允许 L2TP VPN 连接 通过 防火 墙 ， 需 要 允许 UDP 端口 5000、UDP 端口 4500 和 IP 协议 类 型 50。]IP 


协议 类 型 50 是 IPsec 用 于 加 密 的 ESP( 封 装 安全 负载 ) 类 型 
SSTP 优 于 PPTP 和 L2TP， 因 为 它 安全 ， 配 置 简 单 。SSTP 使 用 与 Web 服务 器 相同 的 传输 层 安全 (TLS) 
协议 进行 加 密 。 身 份 验证 基于 用 户 名 和 密码 。 


my 要 允许 SSTP VPN 通过 防火 墙 ， 需 要 允许 TCP 端口 443。 这 是 安全 网 站 使 用 的 端口 。 因 此 ， 这 个 协议 
: 几乎 可 在 任何 地 点 工作 。 而 在 公共 网 络 ( 如 酒店 ) 上 ， 其 他 VPN 协议 可 能 会 被 屏蔽 。 
此 协议 可 在 Windows Vista SP1 及 以 后 版 本 中 使 用 
IKEv2 使 用 IPsec 进行 数据 加 密 : 但 与 L2TP 不 同 ， 它 不 需要 单独 配置 IPsec 身份 验证 。 只 有 提供 用 户 名 
和 密码 才能 执行 身份 验证 。 
Internet 密 钥 交换 v2 | IKEV2 优 于 SSTP 的 要 点 是 VPN 重新 连接 功能 。 当 工 Ev2 用 于 不 稳定 的 网 络 连接 时 ， 它 可 以 自动 重新 
(IKEV2) 连接 。 对 于 其 他 VPN， 需 要 在 VPN 中 断 时 手动 重新 连接 。 
隧道 协议 因为 代 Ev2 基于 IPsec， 所 以 需要 允许 与 L2TP VPN 相同 的 端口 和 协议 类 型 。 需 要 允许 UDP 端口 5000、 


UDP 端口 4500 和 IP 协议 类 型 50。 
该 协议 可 在 Windows 7 和 更 新 的 客户 机 上 使 用 


2. 配置 VPN 服务 器 

配置 VPN 服务 器 的 第 一 步 是 安装 来 自 Remote Access 服务 器 角 包 的 DirectAccess 和 VPN (RAS) 和 角色 服务 。 要 配 
置 VPN 服务 器 ， 请 执行 以 下 步骤 : 

(1) 在 Server Manager 中 ， 单 击 Tools， 再 单 击 Remote Access Management。 

(2) 在 Remote Access 管理 控制 人 台 的 Navigation 窗 格 中 ， 单 击 DirectAccess And VPN， 然 后 单 击 Run The Getting 
Started Wilzard 。 

(3) 在 Configure Remote Access Wizard 中 ， 单 击 Deploy VPN Only。 

(4) 在 Routing and Remote Access 窗口 中 ， 右 键 单 击 服务 器 ， 单 击 Configure And Enable Routing And Remote Access。 

(5) 在 Routing and Remote Access Server Setup Wizard 中 ， 单 击 Next。 

(6) 在 Configuration 页 面 上 ， 单 击 Remote Access(Dial-Up Or VPN)， 再 单 击 Next。 

(7) 在 Remote Access 页 面 上 ， 选 择 VPN 复 选 框 ， 并 单 击 Next。 

(8) 在 VPN Connection 页 面 ， 如 图 5.20 所 示 ， 选 择 连 接 到 Internet 的 网 络 接口 ， 然 后 单 击 Next。 许 多 情况 下 ， 
此 适 配 右 位 于 DMZ 中 ， 而 非 直 接连 接 在 Internet 上 。 


Routing and Remaote Access Server Setup Wizard 
WPN Connection 


To enable VPN clents to caonnedt to this server, dt lead one network nietace 
must be connected to the Intemet. 


Select the netyark interace thit connects this server to the Intemat. 


Network interfaces: 


| Description IP Address 
Microsoft Hyper:V Netw... C10.1.1.12 
Microsoft Hyper-V Netw... 172.160.12 


fw Enable security on th selected interface by setting up ttatic packet fiters. 
dtatic packd 信 ers allow only VPN traffic to gain access to this server through the 
selected interface. 


图 5.20 选择 网 络 接口 
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(9) 在 JP Address Assignment 页 面 上 ， 选 择 锅 望 如 何 将 IP 地 址 分 配给 客户 端 ， 然 后 单 击 Next。 可 以 选择 
Automatically， 让 VPN 服务 器 租用 DHCP 服务 器 中 的 IP 地 址 ， 并 分 发 给 客户 轿 。 也 可 在 VPN 服务 器 上 配置 特定 
范围 的 IP 地址 ， 这 些 IP 地 址 将 分 发 给 客户 机 。 

(10) 在 Managing Multiple Remote Access Servers 页 面 上 ， 选 择 VPN 服务 器 本 刁 是 否 执行 身份 验证 ， 或 者 是 否 使 用 
RADIUS 服务 器 进行 身份 验证 ， 然 后 单 击 Next。RADIUS 服务 器 允许 为 多 个 VPN 服务 器 集中 处 理 身 份 验 证 请 求 。 

(11) 在 摘要 页 面 上 ， 单 击 Finish 。 

(12) 在 Routing and Remote Access 对 话 框 中 ， 单 击 Yes 以 确认 需要 使 用 DHCP 服务 器 的 IP 地址 配置 DHCP 中 
继 代理 ， 以 服务 VPN 客户 机 请 求 。 只 有 选用 DHCP 服务 器 来 分 发 IP 地 址 ， 才 会 出 现 此 对 话 框 。 

配置 好 VPN 服务 器 后 ， 使 用 Routing and Remote Access 工具 进行 管理 ， 如 图 5.21 所 示 ， 在 Server Manager 中 可 
以 访问 该 工具 。 在 Server Manager 中 也 可 访问 Remote Access Management 控制 台 ， 该 控制 台 具 有 有 限 的 VPN 角色 


监控 信息 。 


7 Routing and Remaote Access 


File Action View Help 


和 轩 | 血 国 | 国 回 马 | 回国 


加 Routing and Remote Access 
装 Server Status 
v 也 C-UTIL-01 
四 Network Interfaces 


加 ports 


Name 
f®: WAN Miniport (SSTP) (VPN1-99) 
tS WAN Miniport (SSTP) (VPN1-98) 


四 Remote Access Clients 人 BB WAN Miniport (SSTP) (VPN1-97) 


I Remote Access Logging 
» 岛 IPv4 
v 久 IPv6 
加 General 
岛 Static Routes 


BB WAN Miniport (SSTP) (VPN1-96) 
SWAN Miniport (SSTP) (VPN1-95) 
BS WAN Miniport (SSTP) (VPN1-94) 
WAN Miniport (SSTP) (VPN1-93) 
WAN Miniport (SSTP) (VPN1-92) 
SWAN Miniport (SSTP) (VPN1-91) 
BS WAN Miniport (SSTP) (VPN1-90) 
WAN Miniport (SSTP) (VPN1-9) 

BS WAN Miniport (SSTP) (VPN1-89) 
BB WAN Miniport (SSTP) (VPN1-88) 


Lsed By 

RAS/Routing 
RAS/Routing 
RAW/Routing 
RAS/Routing 
RAS/Routing 
RAS/Routing 
RAS/Routing 
RAS/Routing 
RAS/Routing 
RAS/Routing 
RAS/Routing 
RAS/Routing 
RAS/Routing 


Lr WAN Miniport (535TP) VPNT=87) RAS/Routing =w 


2 


5.21 Routing and Remote Access 对 话 框 


配置 VPN 服务 器 时 ， 默 认 情 况 下 没有 用 户 可 访问 它 。 可 为 单个 用 户 局 用 访问 ， 或 者 通过 配置 网 络 策略 来 启用 
访问 。 为 允许 单个 用 户 登 录 到 VPN， 需 要 配置 用 户 账户 的 Dial-in 属性 ， 如 图 5.22 所 示 。 尽 党 该 名 称 表示 拨号 ， 但 
它 也 适用 于 VPN 访问 ,默认 的 网 络 访问 权限 是 通过 NPS 网 络 策略 控制 访问 。 要 允许 VPN 访问 ,请 选中 Allow access。 


Jeff Smith Properties ? A 


Raemote control Remote Desktop Services Profile COM 
Telephones Drganization 


f ”Set by Caler (Routing and Remote Access Service only) 


f ”AwayvsCalbsck to: 


PP 


| Assign Static IP Addresses 
Define IP addresses to enable forthis 
Qialin eonnection. 

[Apply Static Routes 
Define routes to enable for this Dial:n 


图 5.22 网 络 访问 权限 
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3. 网 络 策 略 服 务 痢 

在 较 小 的 组 织 中 ， 为 每 个 用 户 单独 局 用 VPN 访问 并 不 需要 完成 太 多 工作 。 然 而 ， 在 更 大 的 组 织 中 ， 需 要 一 种 
更 易于 管理 的 方式 来 控制 VPN 访问 。 大 型 组 织 在 网 络 策略 服务 器 (Network Policy Server，NPS) 中 使 用 网 络 策 略 。 在 
配置 VPN 服务 器 时 安装 NPS。 

远程 访问 拨号 用 户 服务 (RADIUS) 是 一 个 协议 ， 用 于 将 身份 验证 请 求 从 服务 转发 到 执行 身份 验证 的 RADIUS 服 
务 器 。 该 协议 最 初 用 于 拨号 服务 器 ， 但 也 用 于 VPN 服务 器 、 无 线 接 入 点 和 交换 机 上 的 802.1x 身份 验证 。Windows 
Server 2016 中 的 NPS 提供 RADIUS 服务 器 功能 。 

NPS 中 的 网 络 策略 是 定义 哪些 用 户 可 以 连接 到 网 络 的 规则 。 默 认 的 网 络 策略 会 阻塞 所 有 连接 ， 因 此 需要 创建 额 
外 的 网 络 策略 来 允许 访问 。 可 以 基于 IP 地 址 或 日 期 和 时 间 限 制 等 名 种 特性 允许 访问 。 然 而 ， 最 弟 用 的 特征 是 组 员 
身份 。 

作为 网 络 策略 的 一 部 分 ， 还 需要 选择 可 接受 的 身份 验证 方法 。 默 认 情 况 下 启用 了 一 些 较 旧 的 、 安 全 性 较 差 的 身 
份 验 证 方法 ， 如 图 5.23 所 示 。 强 烈 建 议 使 用 可 扩展 身份 验证 协议 (EAP) 方 法 。EAP 本 身 不 是 一 种 喘 份 验证 协议 ， 但 
它 人 允许 使 用 不 同 的 身份 验证 方法 。EAP 可 用 的 方法 包括 : 

令 ”保护 密码 (EAP-MSCHAPY2)。 此 方法 允许 用 户 使 用 用 户 名 和 密码 登录 。 不 需要 证 书 。 

令 ”保护 EAP(PEAP)。 此 方法 允许 用 户 以 用 户 名 和 密码 登录 ， 但 必须 在 NPS 服务 器 上 安装 证 书 以 确保 通 

信和 安全 。 

令 ”智能 卡 或 其 他 证 书 。 此 方法 需要 用 户 身 份 验证 和 服务 器 上 的 证 书 。 

还 可 在 每 个 网 络 策 略 上 配置 约束 。 它 们 会 执行 限制 ， 如 超时 或 日 期 和 时 间 限 制 。 如 果 配 置 了 多 个 约束 ， 就 必须 
匹配 所 有 约束 ， 人 否则 将 拒绝 连接 请 求 。 


New Network Policy 


Configure one or more authentication methods required for the connection request to match this policy. For EAP 
authentication, you must configure an EAP type. 


站 Configure Authentication Methods 


EAP types are negotiated between NPS and the client in the order in which they are listed. 


EAP Types: 
Microsoft: Secured passwond [EAP-MSCHAP va 
Microsoft: Protected EAP (PEAP) 
Microsoft: Smart Card or other certificate 


Edit... Remowe 
Less secure authentication methods- 
Microsoft Encrypted Authentication version 2 (MS-CHAP-v2) 
局] User can change password after it has expired 
[2] Microsoft Encrypted Authentication (MS-CHAP) 
(|] User can change password after tt has expired 
|] Encrypted authentication (CHAP) 
口 Unencrypted authentication (PAP, SPAP) 
[|_| Mlow clients to connect without negotiating an authentication method. 


图 5.23 网 络 策略 身份 验证 方法 


最 后 ， 可 配置 应 用 于 网 络 策 略 中 的 设置 。 一 些 设置 包括 卫 过 滤器、 加 密 和 RADIUS 属性 。 

可 将 策略 集中 在 一 个 NPS 服务 器 上 ， 而 不 是 在 每 个 VPN 服务 器 上 维护 单独 一 组 网 络 策略 。 为 此 ， 需 要 修改 VPN 
服务 器 的 属性 ， 使 其 充当 RADIUS 客户 机。 身份 验证 和 账户 的 默认 配置 在 本 地 执行 。 在 图 5.24 中 ， 给 账 尸 提供 者 
Windows Accounting 显示 了 这 一 点 。 吴 份 验证 提供 者 配置 为 将 身份 验证 请 求 转 发 到 RADIUS 服务 器 。 
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C-UTIL-01 Properties 
General Securty IPv4 IPvé IKEv2 PPP Logging 
The Authentication provider validates credentials for remote access clients 
and demand-dial routers. 
Authentication provider: 
|RADIUS Authentication =| Configure.. | 


Authentication Methods.. | 


The accounting provider maintains a log of connection requests and 
SSSIOTS . 


Accounting provider: 
[Windows Accounting bd | 


Configure 
The custom |Psec policy specifies a preshared key for L2TP/IKEv2 
connections. The Routing and Remote Access senvice should be started to 


set this option. IKEv2 initiators configured to authenticate this server using 
certificate will not be able to connedt. 


厂 MNlow custom IPsec policy for L2TP/IKEY2 connection 
Preshared key: 

SSL Cerificate Binding: 

矿 Use HTTP 


Select the certificate the Secure Socket Tunneling Protocol (55TP) 
server should use to bind with 与 SL (Web Listener) 


Cartificate : | Default rr | | Re Lid 


图 5.24 配置 VPN 服务 器 ， 以 使 用 RADIUS 
RADIUS 代理 


大 多 数 情况 下 , 配置 VPN 服务 器 (RADIUS 客户 端 ) 以 使 用 特定 的 RADIUS 服务 器 (NPS 服务 器 ) 就 足够 了 .但 是 ， 
如 果 环 境 比较 复杂 ， 和 包含 多 个 Active Directory 森林 或 域 ， 就 可 能 希望 实现 RADIUS 代理 ， 以 便 将 身份 验证 请 求 路 
由 到 正确 的 RADIUS 服务 器 。 

NPS 可 使 用 连接 请 求 策略 充当 RADIUS 代理 。 默 认 连 接 请 求 策 略 在 本 地 验证 所 有 请 求 。 可 以 创建 附加 的 连接 
请 求 策略 ,将 某 些 域 的 身份 验证 请 求 发 送 到 另 一 个 域 中 的 RADIUS 服务 器 . 例如 , 可 基于 身份 验证 请 求 的 用 户 UPN 
中 的 域 来 路 由 请 求 。 

4. Always On VPN 


对 于 移动 用 户 而 言 ， 最 好 的 情况 是 在 内 部 网 络 和 漫游 之 间 无 缝 移动。 如 果 客 己 新 使 用 的 是 Windows 10 (构建 版 
1607 或 更 高 版 本 )， 就 可 以 使 用 Always On VPN 来 提供 这 种 体验 。 当 移动 用 户 连接 到 Internet 时 ， 会 目 动 网 VPN 进 
行 身 份 验 证 ， 并 能 够 访问 网 络 服务 ， 包 括 域 控制 如 上 的 号 份 验证 服务 。 
Always On VPN 提供 了 一 些 好 处 ， 包 括 : 
令 ”多 许 用 户 简化 VPN 访问 
争 ”避免 要 求 在 移动 电脑 缓存 凭证 
争 ”避免 密码 在 移动 电脑 缓存 的 凭证 中 不 同步 
Always On VPN 实现 的 功能 包含 在 Windows 10 中 。Windows Server 2016 需要 正确 配置 为 VPN 服务 器 , 但 客户 
问 负 责 连 接 。Always On VPN 上 的 首选 VPN 协议 是 工 Ev2， 但 如 果 IKEV2 不 能 连接 ， 则 使 用 SSTP。 
要 在 用 户 登 录 之 前 目 动 进行 和 刁 份 验证 ， 和 号 份 验证 束 要 基于 计算 机 。 给 每 个 计算 机 颁发 一 个 证 书 ， 并 将 该 证 书 提 
区 给 VPN 服务 器 进行 身份 验证 。 对 于 非 域 连 接 的 计算 机 ， 可 使 用 Microsoft Intune 分 发 证 书 。 
有 关 Always On VPN 部 署 的 详细 信息 ， 请 参阅 Remote Access Always On VPN Deployment Guide for Windows 


Server and Windows 10， 网 址 是 https://docs.microsoft.com/en-us/Wwindows-server/remote/remote-access/vpn/always- 
on-vpn-deploy/always-on-vpn-deploy。 
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DirectAccess 

在 Windows Server 2008 R2 中 , 微软 引入 DirectAccess， 提 供与 Always On VPN 类 似 的 优点 。 实 现 DirectAccess 
后 ， 客 户 端 可 从 内 部 网 络 无 颖 漫游 到 移动 位 置 。 在 未 来 ， 微 软 将 始终 专注 于 Always On VPN， 以 获得 这 些 好 处 。 但 
是 ， 如 果 已 经 有 了 DirectAccess， 它 将 被 支持 很 多 年 ， 还 可 用 于 支持 较 老 的 客户 端 。 

DirectAccess 的 配置 比 Always On VPN 要 复杂 得 多 。 此 外 ， 只 有 企业 版 本 的 Windows 客户 端 可 用 作 DirectAccess 
客户 端 。Windows 10 Pro 支持 Always On VPN， 许 多 较 小 的 组 织 都 使 用 它 。 


5.4.2 WAP 


要 提供 对 基于 Web 的 应 用 程序 的 远程 访问 ， 可 使 用 WAP。WAP 是 驻 留 在 Intermet 客户 机 和 基于 Web 的 应 用 程 
序 之 间 的 反 同 代理 ， 如 图 5.25 所 示 。Internet 客户 问 从 不 直接 与 基于 Web 的 应 用 程序 通信 。 相 反 ，WAP 隔离 了 Web 
应 用 程序 ， 以 保护 它 免 受 攻击 。 


Internet 容 户 端 | ee [hl ee 


四 5.25 WAP 服务 器 的 位 置 


为 提高 安全 性 ， 可 将 WAP 配置 为 在 允许 连接 到 基于 Web 的 应 用 程序 之 前 对 用 户 进 行 预 身份 验证 。 将 请 求 发 送 
到 应 用 程序 的 登录 屏幕 前 ， 要 求 进行 身份 验证 可 防止 几乎 所 有 来 自 Internet 的 攻击 。 
WAP 依赖 于 Active Directory 联合 服务 (AD FS)。 有 关 WAP 的 更 多 信息 ， 请 参阅 第 11 章 。 


5.5 网 络 负 戟 平 衔 


负载 平衡 是 允许 将 应 用 程序 的 处 理 负 载 分 布 在 多 个 服务 器 上 的 系统 。 例 如 ， 可 在 两 个 服务 器 上 安装 一 个 网 站 应 
用 程序 ， 负 载 平 衡 把 客户 机 请 求 指 回 两 个 服务 器 。 这 提供 了 高 可 用 性 ， 因 为 如 果 其 中 一 个 服务 器 友 生 故障 ， 剩 下 的 
服务 器 仍然 可 以 啊 应 客户 机 请 求 (还 可 临时 删除 一 个 节点 以 进行 维护 )。 负 载 平 衡 还 提供 了 可 伸缩 性 ， 因 为 可 以 汪 、 加 
更 多 服务 器 。 

负载 平衡 的 一 个 关键 考虑 是 负载 平衡 集群 中 的 每 个 节点 都 需要 具有 相同 的 信息 。 否则 ， 客 户 机 将 得 到 不 一 致 的 
信息 ， 这 些 信 息 取 决 于 与 它们 通信 的 市 点 。 对 于 人 简单 网 站 ， 这 意味 着 需要 将 相同 的 网 站 复制 到 所 有 服务 器 。 对 于 更 
复杂 的 应 用 程序 ， 如 基于 Web 的 应 用 程序 ， 这 意味 着 应 用 程序 的 所 有 前 站 Web 服务 器 都 需要 使 用 单个 共享 数据 源 ， 
如 SQL Server 数据 库 。 

有 些 应 用 程序 需要 在 内 存 中 维护 会 话 状态 。 例 如 ， 有 购物 车 的 网 站 可 能 将 购物 车 的 内 容 保存 在 内 存 中 ， 直 到 文 
付 为 止 。 客 户 并 需要 在 整个 会 话 期 间 与 包含 购物 车 的 节点 保持 通信 。 需 要 里 份 验证 的 应 用 程序 还 需要 连接 到 一 致 的 


节点 。 将 客户 端 连 接 到 一 致 的 节点 称 为 关联 。 
衡 (NLB) 特 性 来 执行 负载 平衡 。 然 而 ， 这 种 负载 平衡 特 


可 在 Windows Server 2016 中 使 用 Windows 网 络 负 载 平 : 
性 与 大 多 数 负载 平衡 解决 方案 的 操作 方式 不 同 。 大 多 数 负 载 平衡 解决 方案 都 是 作为 设备 实现 的 ， 所 有 客户 机 请 求 都 
指 癌 设备 。 然 后 ,设备 将 请 求 发 送 到 节点 进行 服务 。NLB 作为 分 布 式 服务 运行 ， 所 有 节点 都 看 到 所 有 请 求 ， 但 只 有 
正确 的 节点 啊 应 请 求 。 所 有 节点 都 使 用 一 种 算法 来 计算 哪个 节点 啊 应 请 求 。 图 5.26 显示 了 每 种 负载 平衡 啊 应 方式 的 
差异 。 

在 配置 NLB 集群 时 ， 可 为 客户 机 设置 关联 性 。 如 果 应 用 程序 不 保留 任何 会 话 状态 信息 ， 则 可 完全 不 使 用 关联 。 
如 果 需 要 关联 ， 可 基于 源 卫 地 址 或 整个 源 子 网 进行 关联 。 大 多 数 情 况 下 ， 首 选 使 用 源 IP 地 址 进行 关联 ， 因 为 它 提 
供 了 路 节点 的 更 均 义 的 负载 分 布 。 

尽管 NLB 对 于 较 小 环境 是 有 效 的 解决 方案 ， 但 大 多 数 需 要 负载 平衡 的 组 织 都 使 用 专门 的 设备 。 这 是 因为 NLB 
具有 以 下 缺点 : 
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设备 NLB 


< 一 ED“ 节点 1 


客户 端 负载 平衡 奏 。 端 ~、 


i 


令 ”可 伸缩 性 有 限 。NLB 适用 于 少量 节点 ， 但 不 适用 于 需要 大 量 节 点 的 大 型 环境 。 负 载 平 衡 设 备 更 具 可 伸缩 性 。 

令 “不 兼容 故障 转移 集群 功能 。NLB 特性 不 能 安装 在 已 经 使 用 故障 转移 集群 特性 的 节点 上 。 对 于 使 用 数据 库 
可 用 性 组 (DAG) 实 现 高 可 用 性 的 Exchange Server 部 署 来 说 ， 这 是 一 个 问题 。 负 载 平衡 设备 通过 从 服务 器 
中 删除 所 需 的 功能 来 避免 这 个 问题 。 

令 ”不 支持 应 用 程序 。NLB 停止 向 不 啊 应 心跳 的 节点 分 发 请 求 ， 但 它 不 监视 应 用 程序 的 健康 状况 。 如 果 应 用 
程序 处 于 失败 状态 ， 但 操作 系统 仍然 健康 ，NLB 仍 会 癌 失 败 的 服务 器 发 送 请 求 ， 导 致 用 户 出 错 。 负 载 平衡 
设备 可 配置 为 监视 应 用 程序 ， 并 在 应 用 程序 失败 时 让 节操 退出 服务 。 

有 关 配 置 NLB 的 详细 信息 ， 请 参阅 “网 络 负载 平衡 ”， 网 址 是 https://docs.microsoft.com/en-us/window-sserver/ 

networkineg,/technologlies/network-load-balancine。 


5.6 ”软件 定义 网 络 


软件 定义 网 络 (SDN) 实 现 了 网 络 配 置 的 虚拟 化 ， 以 提供 更 大 的 灵活 性 。SDN 为 运行 Hyper-V 的 环境 提供 了 类 似 
云 的 网 络 配置 。Windows Server 2016 中 SDN 的 许多 特性 (如 软件 负载 平衡 器 ) 等 最 初 都 出 现在 Windows Azure 上 。 

在 实现 SDN 时 ， 网 络 配置 从 物理 网 络 和 Hyper-V 主机 中 抽象 出 来 。 可 以 创建 一 个 新 网 络 ， 将 虚拟 机 连接 到 该 
网 络 ， 而 不 考虑 虚拟 机 运行 在 哪个 Hyper-V 主机 上 。 不 需要 通过 Hyper-V 主机 手动 创建 单独 的 Hyper-V 网 络 ， 以 文 
持 网 络 隔离 。 

本 章 概述 SDN。 要 获得 关于 SDN 和 如 何 部 罩 它 的 详细 信息 ， 请 参阅 “软件 定义 网 络 (SDN)”， 网 址 是 : https:// 
docs.microsott.com/en-us/windows-server/networking/sdn/software-defined-networking.。 

要 观看 SDN 的 演示 ， 可 访问 https:/youtube/ 人 01zUUcXD0 的 “Windows Server 2016 软件 定义 网 络 人 简介 ”。 


5.6.1 网 络 控制 器 


网 络 控制 器 是 用 于 配置 网 络 设备 的 组 件 。 当 执行 配置 更 改 时 ， 这 些 更 改 将 提供 给 网 络 控制 器 。 然 后 网 络 控制 器 
对 Hyper-V 主机 进行 必要 的 配置 更 改 。 

为 使 用 网 络 控 制 器 更 改 配 置 ， 并 监视 现 有 配置 ， 需 要 使 用 Northbound 应 用 程序 编程 器 接口 (APT)。 网 络 控制 器 
用 于 配置 和 监视 网 络 设 备 的 通信 路 径 称 为 Southbound API。 理解 术语 Northbound API 和 Southbound API 很 重要 ， 
为 一 些 Microsoft 文档 引用 了 它们 。 

可 使 用 Windows PowerShell 在 网 络 控 制 器 上 更 改 配置 。 然 而 ， 这 样 做 比较 复杂 。 使 用 系统 中 心虚 拟 机 管理 器 
(VMMD) 处 理 SDN 要 简单 得 多 。VMM 是 为 管理 Hyper-V 环境 而 设计 的 系统 中 心 应 用 程序 套件 的 一 部 分 。 它 可 以 部 
署 和 管理 虚拟 机 、Hyper-V 主机 和 SDN。 

网 络 控制 器 是 SDN 中 的 一 个 关键 组 件 ， 应 该 通过 创建 网 络 控制 器 集群 使 其 高 度 可 用 。 微 软 推荐 安装 了 “网 络 
控制 器 ”角色 的 三 个 虚拟 机 。 


5.6.2 ”Hyper-V 网 络 虚拟 化 
Hyper-V 网 络 虚拟 化 是 在 后 台 运 行 的 技术 ， 人 允许 SDN 在 私有 云 中 动态 创建 和 管理 网 络 。 在 不 同 的 Hyper-V 主 
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机 上 ， 移 动 虚 拟 机 的 网 络 数据 包 被 封装， 这 样 不 需要 配置 物理 网 络 ， 就 可 以 路 由 虚拟 机 的 IP 地 址 。 

在 私有 云 中 ， 可 创建 没有 连接 的 隔离 网 络 。 这 允许 创建 多 个 不 存在 IP 地 址 冲突 风险 的 环境 。 应 用 程序 的 开发 
环境 可 使 用 与 生产 环境 (包括 IP 地 址 ) 完 全 相同 的 配置 ， 而 不 存在 网 络 神 突 的 风险 。 

从 虚拟 机 管理 的 角度 看 ，Hyper-V 网 络 虚拟 化 文 持 虚 拟 机 路 子 网 的 实时 迁移 。 没 有 Hyper-V 网 络 虚 拟 化 ， 虚 拟 
机 只 能 在 同一 子 网 的 Hyper-V 主机 之 间 进 行 实时 迁移 。 


5.6.3 RAS 网 关 


RAS 网 关 是 SDN 的 路 由 器 。 它 在 物理 网 络 和 虚拟 机 之 间 路 由 通信 。 由 于 在 整个 私有 云 中 应 用 了 网 络 虚 拟 化 ， 
RAS 网 关 可 对 任何 虚拟 机 的 流量 进行 路 由 ， 而 不 管 承载 它 的 Hyper-V 主机 是 什么 。 

为 简化 物理 网 络 和 租户 之 间 的 路 由 更 新 ，RAS 网 基 使 用 了 边界 网 关 协 议 (Border Gateway Protocol，BGP)。BGP 
是 一 种 能 对 路 由 信息 进行 广播 和 接收 的 路 由 协议 。 这 样 束 不 需要 手动 更 新 路 由 表 ， 因 为 RAS 网 关 可 以 接受 并 提供 
来 目 其 他 路 由 器 的 路 由 表 更 新 。 

RAS 网 关 的 其 他 特性 包括 : 

令 ”站 后 到 站 点 的 VPN。 站 点 到 站 点 的 VPN 通过 公共 基础 设施 (如 Internet) 将 两 个 位 置 连接 到 单个 私有 网 络 。 
可 使 用 此 特性 连接 多 个 数据 中 心 ， 或 将 数据 中 心 与 Microsoft Azure 租户 连接 ， 以 用 于 混合 环境 。 
扩 到 站 后 的 VPN。 操 到 站 点 的 VPN 允许 个 人 客户 中 连接 到 私有 网 络 。 可 用 它 来 允许 管理 员 和 工作 人 员 连 
接 到 私有 云 ， 并 访问 资源 。 
GRE 隧道 . 通用 路 由 封装 (GRE) 是 一 种 轻 量 级 隧道 协议 , 可 用 于 在 私有 云 中 的 租户 之 间或 租户 内 部 的 虚拟 
网 络 之 间 移 动 数据 包 。 

要 为 RAS 网 关 功 能 提供 高 可 用 性 ， 可 创建 网 关 池 。 在 Windows Server 2012 R2 中 ， 只 能 使 用 一 个 网 关 池 。 在 
Windows Server 2016 中 ， 可 拥有 多 个 网 关 池 。 这 提供 了 更 大 的 灵活 性 ， 可 将 池 专 用 于 单个 用 途 ， 例 如 VPN 访问 或 
单个 租户 。 


5.6.4 数据 中 心 防火 场 

可 使 用 数据 中 心 防 火 墙 让 SDN 对 单个 虚拟 机 或 整个 网 络 应 用 防火 墙 策 略 。 可 以 实现 防火 墙 规 则 来 保护 面 对 Internet 
或 内 部 网 络 上 的 主机 。 在 多 租户 环境 中 ， 租 户 管 理 员 可 在 目 己 的 租户 中 创建 规则 。 防 火场 策略 中 的 规则 可 以 基于 : 

全 协议 

令 源 了 地 址 和 目标 了 P 地址 

倒  ” 源 问 口号 和 目标 端口 号 


5.6.5 ”软件 负载 平衡 


SDN 软件 负载 平衡 (SLB) 是 Windows Server 2016 的 一 个 特性 , 用 于 提供 负载 平衡 SLB 的 功能 类 似 于 负载 平衡 
设备 , 而 不 是 Windows Server 2016 中 的 NLB 特性 。 这 意味 着 SLB 对 于 部 署 来 说 是 灵活 的 , 并 具有 高 度 的 可 伸缩 性 。 
SLB 还 具有 基于 TCP 端口 或 特定 URL 的 HITP 探测 的 健康 监控 .对 于 SLB 的 高 可 用 性 ,可 让 多 个 虚拟 机 运行 SLB。 
表 5.6 列 出 为 理解 SLB 而 应 该 熟悉 的 一 些 术 语 。 


表 5.6 SLB 术语 
术 语 描 述 
虚拟 下 地 址 (VIP) | 客户 端 用 来 访问 负载 平衡 资源 的 全 地 址 
动态 IP 地 址 (DIP) | 私有 云 中 虚拟 机 的 了 P 地 址 ， 它 承载 负载 平衡 的 资源 。 如 果 有 三 个 虚拟 机 承载 资源 ， 就 有 三 个 DIP 
SLB Multiplexer 一 个 或 多 个 运行 SLB 的 虚拟 机 的 逻辑 集合 。MUX 是 使 用 负载 平衡 策略 来 配置 的 ， 负 载 平 衡 策略 为 特定 
(MUX) 工作 负载 定义 VIP 和 DIP。 客 户 机 请 求 被 发 送 到 MUX，MUX 将 请 求 转发 到 DIP 


因为 整个 SDN 作为 一 个 单元 运行 ,所 以 SLB 比 传统 的 负载 平衡 设备 更 珊 效 ,来 日 SDN 外 部 的 入 站 请 求 由 MUX 
处 理 ， 但 啊 应 不 是 。Hyper-V 主机 上 的 虚拟 交换 机 执行 必要 的 网 络 地 址 转换 (NAT)， 以 便 虚拟 机 直接 啊 应 客户 机 。 
当 客 户 端 位 于 SDN 内 时 ， 在 初始 连接 后 ， 其 至 客户 端 请 求 都 会 绕 过 MUX， 直 接 发 送 到 DIP。 
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SLB 中 的 NAT 功能 可 在 不 实现 负载 平衡 的 情况 下 使 用 。 可 用 它 来 多 许 SDN 上 的 虚拟 机 访问 外 部 资源 ， 而 不 必 
为 它们 分 配 一 个 外 部 可 访问 的 IP 地 址 。 还 可 使 用 此 功能 来 允许 外 部 客户 器 访问 SDN 上 的 虚拟 机 。 可 以 配置 NAT 
规则 ， 只 允许 访问 特定 的 TCP 或 UDP 端口 。 

有 关 SLB 功能 的 视频 , 请 参见 “Windows Server 2016 中 的 软件 定义 网 络 负载 平衡 器 ”网 址 是 : https://channel9.msdn. 
com/Blogs/Windowsserver/ Software-defined-Networkine-Load-Balancer-in-Windows-Server-2016。 


5.6.6 ”交换 机 宪 入 式 组 合 


Windows Server 2016 中 的 交换 机 肉 入 式 组 合 (SET) 是 在 Hyper-V 主机 上 使 用 网 络 适配器 组 合 的 男 一 种 选择 。 没 
有 SDN, 可 将 多 个 物理 网 络 适配器 组 合 到 一 个 小 组 中 , 并 创建 一 个 使 用 该 组 合 的 虚拟 网 络 。 这 使 虚拟 网 络 高 度 可 用 ， 
但 它 只 有 在 Hyper-V 主机 级 别 才 可 管理 。 

在 使 用 SDN 时 ， 应 该 使 用 SET 而 不 是 网 络 适配器 组 合 。SET 通过 SDN 网 络 控 制 器 进行 管理 。SET 还 支持 远 
程 直 接 内 存 访问 (RDMA)， 这 允许 更 快速 的 数据 连接 。 

使 用 SET 的 一 些 注意 事项 包括 : 

令 ”所 有 网 络 适 配器 必须 相同 。 

令 ”不 能 使 用 802.1 身份 验证 ， 因 为 EAP 数据 包 被 丢弃。 

令 不 文 持 接收 闹 扩 展 (RSS)， 因 为 它 被 虚拟 机 队列 (VMQ) 和 虚拟 机 多 队列 (VMMOQ) 代 蔡 。 

令 ”虚拟 机 的 服务 质量 (VM-QoS) 尼 用时， 会 造成 不 可 预期 的 结果 。 


5.6.7 内 部 DNS 服务 


SDN 的 内 部 DNS 服务 允许 集中 处 理 所 有 租户 的 DNS。 所 有 租户 都 可 访问 iDNS 服务 器 ， 不 需要 租户 托管 自己 
的 DNS 服务 器 。 每 个 租户 都 可 以 使 用 iDNS 在 Intermet 上 或 自己 的 租户 内 部 解析 DNS 记录 。 

iDNS 服务 器 不 能 从 租户 网 络 中 直接 访问 。 相 反 ， 每 个 虚拟 机 都 运行 一 个 iDNS 代理 服务 ， 它 允许 与 iDNS 服务 
器 通信 ， 从 而 进行 名 称 解析 和 注册 。 要 将 虚拟 机 配置 为 使 用 iDNS， 必 须 将 其 配置 为 从 DHCP 获取 IP 地 址 和 DNS 
服务 器 。 网 络 控制 器 为 虚拟 机 提供 正确 的 卫 地 址 和 iDNS 代理 配置 。 


5.7 “本章 要 点 


在 Windows Server 2016 中 配置 网 络 。Windows 防火 墙 是 一 个 基于 主机 的 防火 填 , 包含 在 Windows Server 2016 
中 。 为 了 避免 Windows 防火 墙 首 次 引入 时 出 现 的 配置 问题 ， 大 多 数 现代 应 用 程序 自动 配置 Windows 防火 墙 作为 安 
装 过 程 的 一 部 分 。 只 有 在 测试 可 能 存在 问题 的 连接 性 时 ， 才 应 该 禁用 Windows 防火 墙 。 
问题 有 一 个 正常 运行 了 几 个 月 的 应 用 服务 器 。 在 安装 应 用 程序 时 ，Windows 防火 墙 已 正确 配置 。 然 而 ， 
在 最 近 一 次 断 电 后 ， 不 可 中 断 电源 供应 (UPS) 失 败 了 ， 应 用 服务 器 拒绝 了 来 自 客户 端的 网 络 请 求 。 当 禁用 
Windows 防火 墙 时 ， 应 用 程序 将 正常 工作 。 什 么 导致 了 Windows 防火 墙 的 错误 配置 ? 
答案 Windows 防火 墙 对 域 、 工 作 和 公共 配置 文件 有 不 同 的 规则 集 。Windows Server 2016 通常 使 用 域 配置 
文件 ， 因 为 服务 器 可 与 域 控制 器 通信 ， 所 以 要 识别 域 配置 文件 。 在 停机 期 间 ， 应 用 服务 器 可 能 无 法 在 启动 
期 间 与 域 控 制 器 通信 ， 不 使 用 域 配置 文件 进行 网 络 连接 。 因 为 使 用 了 错误 的 配置 文件 ， 所 以 使 用 了 错误 的 
防火 墙 规则 集 。 现 在 网 络 已 经 从 故障 中 恢复 ， 重 新 启动 服务 器 应 该 允许 它 正 确 地 检测 网 络 配置 文件 。 
使 DNS 高 度 可 用 。DNS 是 基于 Windows 网 络 的 关键 资源 。 如 果 DNS 不 可 用 ， 所 有 网 络 服 务 将 不 可 用 。 客 户 
端 登录 到 Active Directory 需要 使 用 DNS。 用 户 访 问 互联 网 也 需要 DNS。 
问题 组 织 有 一 个 拥有 500 名 用 户 的 分 文 机 构 。 这 个 分 文 机 构 现 在 已 经 足够 大 ， 可 以 容纳 上 自己 的 一 些 资源 
了 。 和 希望 在 此 站 点 中 放置 域 控制 器 和 文件 服务 器 。 如 何 为 这 个 站 点 配置 DNS ? 
答案 ” 当 域 控制 器 位 于 远程 站 点 时 ， 它 将 自动 获得 安装 DNS 服务 器 角色 时 支持 Active Directory 的 DNS 
区 域 的 副本 。 不 需要 额外 配置 。 如 果 主 办 公 室 和 分 文 办 公 室 之 间 的 连接 中 断 ， 分 支 办 公 室 的 客户 端 可 以 继 
续 使 用 本 地 DNS 服务 器 ， 而 不 会 中 断 。 分 支 办 公 室 的 DNS 服务 器 需要 配置 为 不 需要 访问 主办 公 室 就 可 以 
执行 Internet DNS 解析 。 
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为 新 的 子 网 配置 DHCP。 大 多 数 客 户 机 和 许多 网 络 设备 (如 打印 机 ) 都 配置 为 从 DHCP 中 获取 了 下 地 址 .使 用 DHCP 
可 简化 这 些 设 备 的 网 络 配置 ， 并 在 部 署 新 设备 时 避免 PP 冲突 。 除 了 分 发 IP 地 址 之 外 ，DHCP 还 分 发 诸如 默认 网 关 
和 DNS 服务 器 等 选项 。 
问题 组 织 已 经 在 当前 的 建筑 中 扩展 到 包括 另 一 个 楼 层 。 网 络 团队 将 这 个 新 楼 层 上 的 网 络 配置 为 
10.100.38.0/24 的 新 子 网 。Windows Server 2016 已 经 配置 为 可 给 其 他 楼 层 提 供 高 度 可 用 的 DHCP。 需 要 对 
新 的 楼 层 和 子 网 进行 哪些 配置 更 改 ? 
答案 ”需要 为 新 的 子 网 创建 一 个 新 的 作用 域 。 在 此 作用 域内 ， 需 要 配置 Router 选项 ， 以 便 为 子 网 上 的 客户 
机 提供 正确 的 默认 网 关 。 还 应 该 验证 已 在 服务 器 级 别 正确 配置 了 DNS 服务 器 选项 。 最 后 ， 需 要 与 网 络 团 
队 确 认 ， 他 们 在 新 子 网 上 配置 了 本 地 路 由 器 接口 ， 以 充当 DHCP 中 继 (IP 助手 )。 
配置 VPN 服务 器 。 可 使 用 远程 访问 服务 器 角色 将 Windows Server 2016 配置 为 VPN 服务 器 。VPN 服务 器 允许 移 
动 客 户 跨 访问 内 部 资源 ， 如 文件 共享 ， 但 它 不 太 适 合 运行 数据 库 应 用 程序 。 
问题 组织 决 定 添 加 两 个 运行 Windows Server 2016 的 VPN 服务 器 ， 以 使 VPN 访问 高 度 可 用 。 同 时 将 两 
个 服务 器 上 的 NPS 规则 配置 为 相同 的 。 这 似乎 会 在 更 新 时 容易 出 错 ; 是 否 有 更 好 的 方法 来 配置 新 的 VPN ? 
答案 可 以 把 VPN 服务 器 配置 为 使 用 RADIUS 服务 器 ,来 集中 进行 VPN 身份 验证 ,Windows Server 2016 
中 的 NPS 服务 器 角色 可 作为 RADIUS 服务 器 执行 。 然 而 ，NPS 服务 器 将 成 为 单 点 故障 。 
为 将 NPS 解析 为 单 点 故障 ， 需 要 对 两 个 NPS 服务 器 进行 负载 平衡 访问 (不 能 使 用 Windows NLB)。 还 要 同步 两 
个 NPS 服务 器 之 间 的 配置 ， 需 要 使 用 Windows PowerShell 导出 配置 ， 然 后 在 其 他 NPS 服务 器 上 导入 。 理想 情况 下 ， 
应 编写 同步 过 程 的 脚本 。 
确定 负载 平衡 解决 方案 。 负 载 平 衡 可 用 于 使 应 用 程序 和 服务 具有 高 可 用 性 和 可 伸缩 性 。Windows Server 2016 
包含 NLB 和 SLB 用 于 负载 平衡 。 还 可 以 获得 第 三 方 负载 平衡 设备 。 
问题 组 织 需要 给 基于 Web 的 应 用 程序 提供 一 个 负载 平衡 解决 方案 。 如 果 基 于 Web 的 应 用 程序 在 某 个 服 
务 器 上 失败 ， 人 负载 平衡 解决 方案 不 能 再 将 客户 机 请 求 定 同 到 失败 的 服务 器 实例 。 虚 拟 化 基础 设施 使 用 
Hyper-V。 实 现 负 载 平衡 的 最 佳 解决 方案 是 什么 ? 
答案 ”因为 需要 应 用 程序 级 的 监视 ， 所 以 不 能 使 用 NLB 进行 负载 平衡 。 但 是 ， 如 果实 现 了 SDN， 则 可 以 
使 用 SLB 实现 负载 平衡 。 要 使 用 SLB， 必 须 实现 SDN， 包 括 网 络 控 制 器 。 如 果 不 想 为 虚拟 化 基础 架构 实 
现 SDN， 就 需要 使 用 第 三 方 负 和 载 平 衡 设备 。 
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文件 服务 


文件 服务 为 在 不 同 地 点 的 电脑 上 工作 的 用 户 提 供 了 访问 日 常 工 作 所 需 的 公司 文件 和 访问 不 同类 型 文档 的 能 力 。 
多 年 来 ， 在 不 同 的 Windows 服务 器 版 本 中 ， 文 件 服务 一 直 在 发 展 ， 以 便 为 组 织 提供 更 高 的 性 能 、 和 生产率 和 可 用 性 。 
在 Windows Server 2016 中 , 所 有 版 本 都 包含 文件 服务 , 包括 GUI、Server Core 和 Nano 服务 器 。 根据 Windows Server 
版 本 的 不 同 ， 可 使 用 Server Manager 控制 台 或 Windows PowerShell 安装 文件 服务 。 


全 
令 ”为 组 织 的 不 同文 件 访问 和 打印 场景 提供 各 种 人 简便 的 解决 方案 
令 ”已 是 从 组 织 的 业务 需求 出 发 来 考虑 问题 
全 ”用 BranchCache 节省 网 络 带宽 

令 ”使 用 File Server Resource Manager 支持 自动 化 流程 


6.1 文件 服务 概述 


在 Windows Server 2016 中 ， 文 件 服务 包含 多 个 组 件 ， 可 帮助 所 有 组 织 ( 从 简单 的 小 型 企业 到 地 理 上 分 艇 的 大 型 
企业 ) 有 效 地 访问 文档 。Windows Server 2016 中 的 文件 服务 分 类 为 文件 和 存储 服务 。 

要 查看 Windows Server 2016 的 文件 和 存储 服务 中 包含 哪些 组 件 ， 最 直接 的 方法 是 使 用 Server Manager。 从 “ 开 
始 ” 菜 单 中 选择 Server Manager, 然后 局 动 Add Roles and Features 问 导 。 选 择 适 当 的 复 选 框 , 就 会 显示 Server Manager 
中 服务 器 角色 所 在 的 两 个 位 置 ， 如 图 6.1 所 示 。 


a [加 | and Storage Services [1 of 12 installed] 
a [| File and iSCSI Services 
[|] File Server 
LL BranchCache for Network Files 
DD Data Deduplication 
DL DFS Namespaces 


[| DFS Replication 


| | File Server Resource Manager 


[| File Server VSS Agent Service 
[|] iSCSI Target Server 
DL iSCSI Target Storage Provider (VDS and Vs: 
[|_| Server for NFS 
[LL] Work Folders 
“| torage ServICES (Installed) 


图 6.1 Server Manager 中 服务 器 角色 所 在 的 两 个 位 置 


在 File and Storage Services 服务 下 ， 有 两 个 组 件 。 第 一 个 组 件 名 为 File and iSCSI Services， 它 使 用 iSCSI 技术 
将 服务 器 配置 为 文件 服务 器 和 存储 服务 器 。 第 二 个 组 件 是 Storage Services， 它 提供 了 存储 管理 功能 。 它 是 默认 安装 
的 ， 不 能 删除 。 

下 面 快速 浏览 一 下 File and iSCSI Services 子 组 件 ， 它 们 位 于 File and Storage Services 角色 之 下 : 

令 ”File Server( 文 件 服务 器 ) 可 以 创建 、 管 理 和 保护 共享 文件 来 ， 为 用 户 提 供 访问 。 
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倒 ”BranchCache for Network Files( 用 于 网 络 文件 的 BranchCache) 是 一 个 WAN 网 络 优化 技术 , 用 于 在 当地 分 支 
机 构 的 计算 机 上 缓存 文件 。 

令 ”Data Deduplication( 数 据 去 重 ) 技 术 只 存储 卷 中 重复 部 分 的 一 份 副本 ， 优 化 了 关中 的 目 由 空间 。 

令 ”DFS Namespaces(DNS 名 称 空间 ) 拉 术 会 创建 文件 服务 器 逻辑 结构 ， 其 中 的 文件 夹 物 理 存储 在 不 同 的 服务 器 上 。 

令 ”DFS Replication(DFS 复制 ) 技 术 复制 DFS 名 称 空 间 基础 设施 中 的 多 个 物理 文件 炎 。 

令 File Server Resource Manager( 文 件 服务 器 资源 管理 器 ) 提 供 了 各 种 目 动 化 文件 管理 任务 , 可 用 于 创建 存储 报 
告 ， 配 置 配额 ， 检 查 文 件 和 文件 夹 ， 以 及 进行 分 类 等 。 

令 ”File Server VSS Agent Service( 文 件 服务 器 VSS 代理 服务 ) 为 要 创建 的 数据 提供 了 着 阴影 副本 。 

令 iSCSI Target Server(iSCSI 目标 服务 器 ) 人 允许 使 用 iSCSI 技术 ， 把 服务 器 当 作 存储 解决 方案 。 

倒 iSCSI Target Storage Provider(VDS and VSS Hardware Providers)， 即 iSCSI 目标 存储 提供 商 (VDS 和 VSS 便 
件 提供 商 )。 人 允许 应 用 程序 连接 到 iSCSI 目标 服务 器 ， 执 行 郑 阴影 副本 。 

合 ”Server for NFS( 用 于 NFS 的 服务 器 ) 为 使 用 NFS 协议 的 客户 端 提供 文件 共享 ， 如 基于 UNIX 的 操作 系统 。 

使 ”Work Folders( 工 作文 件 夹 ) 技 术 人 允许 在 任何 类 型 的 工作 或 个 人 设备 上 ， 通 过 本 地 网 络 或 因特网 访问 服务 器 
上 的 文件 夹 。 

存储 服务 在 第 4 章 中 讨论 过 ， 但 涵盖 所 有 服务 角色 需要 比 本 书 长 得 多 的 篇 幅 。 因 此 ， 本 章 不 会 覆 六 文 件 服务 的 

所 有 内 容 。 


6.2 文件 服务 嫩 


文件 服务 器 组 件 安 装 在 需要 从 组 织 的 不 同位 置 访问 文件 的 服务 器 上 。 以 前 所 有 Windows Server 版 本 都 有 文件 共 
享 。 多 年 来 ， 许 多 先进 技术 (包括 Exchange 中 的 SharePoint 和 公共 文件 来， 以 及 One Drive for Business) 已 经 开发 出 
来 ， 以 取代 文件 服务 器 功能 ， 但 文件 服务 器 仍然 存在 ， 仍 然 在 许多 组 织 中 使 用 。 

与 任何 其 他 IT 解决 方案 一 样 ， 应 该 在 部 团 文 件 服务 器 之 前 设计 文件 服务 解决 方案 。 设 计 理 念 包括 : 

用 户 数 : 有 多 少 用 户 连 接 到 文件 服务 上 ? 这 对 于 缩放 很 重要 。 在 测试 环境 中 ，10 个 用 户 可 能 连接 民 好 ; 然而 ， 
在 工作 环境 中 ， 用 己 数 达到 一 和 干 或 更 多 ， 啊 应 可 能 会 很 缓慢 。 因 此 ， 需 要 估计 连接 到 文件 服务 器 的 实际 客户 机 数量 
对 性 能 的 影响 。 扩 展 可 能 包括 添加 更 多 内 存 、 诡 加 更 快 的 磁盘 驱动 器 ， 添 加 更 多 服务 器 。 为 了 进行 缩放 估计 ， 需 要 
额外 的 信息 ， 包 插 用 户 连 接 到 文件 服务 器 的 频率 以 及 位 于 文件 服务 器 上 的 文件 的 大 小 。 

高 可 用 性 : 如 果 和 安装 了 操作 系统 或 驱动 程序 更 新 ， 就 可 能 需要 重新 局 动 服务 上 器。 这 将 导致 用 户 在 停机 期 间断 开 
连接 。 无 论 上 服务 器 的 重 局 速度 有 多 快 ， 总 有 一 些 用 户 需 要 在 停机 期 间 访 问 文档 。 此 外 ， 一 些 服务 器 组 件 ( 如 电源 或 
内 存心 片 ) 可 能 最 终 集 止 工作 ， 在 伏 换 前 ， 会 导致 服务 器 不 可 用 。 因 此 ， 建 议 在 每 个 组 织 中 部 罩 高 度 可 用 的 文件 服 
务 嚣 。 文 件 服务 器 的 高 可 用 性 可 通过 部 署 故 障 转移 集群 或 分 布 式 文件 系统 (DFS) 来 实现 ， 见 本 章 后 面 的 内 容 。 

服务 怖 的 放置 : 在 分 布 式 组 织 场景 中 ， 应 该 仔细 规划 服务 器 的 位 置 ， 越 来 越 多 的 服务 器 请 求 可 能 会 使 数据 中 心 
和 分 支 机 构 之 间 的 广域网 (WAN) 连 接 饱 和 和。 本章 将 介绍 BranchCache 和 DFS 技术 , 提供 关于 如 何 优化 基础 设施 的 服 
务 器 位 置 的 信息 。 

灾难 恢复 : 没有 人 会 认为 IT 基础 结构 会 出 问题 。 但 是 ， 有 一 个 适当 的 灾难 恢复 计划 将 有 助 于 尽快 将 服务 器 和 
数据 从 灾难 中 恢复 过 来 。 因 此 ， 应 该 仔细 计划 文件 服务 器 的 备份 和 恢复 过 程 。 此 外 ， 如 果 主 位 置 在 较 长 时 间 内 不 可 
用 ， 就 应 该 设计 一 个 计划 ， 将 关键 文件 服务 器 放 到 男 一 个 位 置 上 。 

安全 : 共享 文件 服务 器 并 不 意味 痢 每 个 人 都 应 该 能 够 访问 、 更 改 或 删除 任何 文档 。 安 全 是 每 个 组 织 最 关心 的 问 
题 之 一 ，IT 团队 负责 防止 数据 受到 未 经 授权 的 访问 。 此 外 ， 必 须 保 护 数据 不 受 任何 内 部 或 外 部 攻击 、 恶 意 软件 或 勒 
索 软 件 的 攻击 。 有 关 Windows Server 2016 安全 特性 的 更 多 信息 ， 可 参见 第 8 章 。 


6.2.1 安 闻 文件 服务 怖 


在 Server Manager 中 安装 File Server 组 件 非常 简单 。 只 需要 选中 File Server 复 选 框 ， 并 完成 同 导 。 更 简单 的 方 
法 是 在 希望 用 户 访问 的 服务 髓 上 共享 一 个 文件 夹 ， 以 便 目 动 安装 文件 服务 器 组 件 。 如 果 喜 欢 使 用 Windows PowerShell， 
请 输入 以 下 cmdlet: 
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Install—~-WindowsFeature File—Seryices 


安装 File Server 组 件 后 ， 在 Server Manager 导航 菜单 上 会 添加 一 个 新 项 。 在 File and Storage Services 下 ， 注 意 
出 现 了 Shares 项 ， 如 图 6.2 所 示 。 


ager * File and >torage Services * Shares 
二 
所 ， 
A es | LU CE 


Servels 
Wodunnes 
Lsks 
: orage Pocks 


图 6.2 Server Manager 中 的 Shares 项 
6.2.2 创建 文件 共享 


从 Shares 指示 板 中 , 可 选择 Tasks 来 创建 新 的 共享 .New Share Wizard 会 指导 用 户 完成 创建 新 文件 共享 的 步骤 ( 参 
见 图 6.3)。 


旋 New Share Wizard 


Select the profile for this share 


File share profile Descngptson 
ME Sheare - Chuick Th basic profile represents the fastest wy to create sn 
在 F 和 和 
SB Share - Advanced SB flle share, typrally used to share files with 
, Windows-based computers. 
FMB Share - Applcations 


NFS Share - Quack * Suntable for general fle sharing 
NFS Share - Ddvaneed » dvanced options can be configured later by 
usmng the Fropertmes dialog 


图 6.3 为 共享 选择 配置 文件 


(1) 选择 此 共享 的 配置 文件 : 

令 SMB Share-Quick 用 于 常见 的 文件 共 诗 ， 其 中 ， 定 制 可 在 以 后 配置 一 一 打开 文件 夹 的 Properties 窗口 即 可 
配置 。 

令 ”SMB Share-Advanced 用 于 配置 高 级 特性 ， 例 如 用 于 帮助 “访问 -拒绝 ”的 文件 夹 所 有 者 、 数 据 分 类 、 访 问 
策略 和 配额 。 此 配置 文件 需要 以 前 安装 的 File Server Resource Manager 组 件 。 这 是 小 企业 为 获得 最 大 灵活 

令 ”SMB Share-Applications 用 于 服务 器 应 用 程序 ， 如 Hyper - V。 

令 ”NFS Share-Quick 用 于 为 运行 UNIX 操作 系统 的 客户 问 提 供 痢 见 的 文件 共享 场景 。 

令 ”NFS Share-Advanced 用 于 为 运行 UNIX 操作 系统 的 客户 端 配置 高 级 共享 特性 ， 如 前 面 讨 论 的 高 级 SMB 共 
享 。 这 个 配置 文件 需要 预先 安装 Server for NFS 和 File Server Resource Manager 组 件 。 

(2) 为 共享 的 文件 夹 位 置 选择 服务 器 和 路 径 名 。 

(3) 编辑 或 确认 为 共享 名 和 位 置 选择 的 值 。 
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(4) 系统 会 提示 从 以 下 设置 中 选择 : 

令 ”是 否 月 用 基于 访问 的 枚 举 ， 这 个 过 程 隐 医 了 用 户 没有 权限 访问 的 文件 和 文件 洋 。 

令 ”局 用 共享 的 缓存 和 BranchCache。 

令 ”局 用 共享 的 加 密 。 

(5) 一 旦 配置 了 其 他 设置 ， 就 需要 编辑 或 确认 默认 的 安全 设置 。 这 一 步 对 于 保护 文档 不 受 来 目 网 络 的 未 经 授权 
访问 非常 重要 。 

(6) 创建 共享 文件 夹 后 ， 就 能 编辑 该 文件 夹 设置 。 不 过 ， 此 时 最 好 根据 共享 文件 夹 的 需求 验证 是 否 已 配置 所 有 
内 容 。 
(7) 最 后 ， 如 果 确 信 已 经 完成 了 设置 ， 就 单 击 Create， 来 创建 文件 共享 。 


6.2.3 “分配 权限 


可 添加 更 多 要 共享 的 文件 光 ， 并 配置 适当 权限 。 然 而 ， 在 许多 组 织 中 ， 对 共享 文件 夹 的 权限 有 不 同 的 误解 。 因 
为 磁盘 驱动 器 是 用 NTFS 格式 化 的 , 所 以 所 有 文件 和 文件 夹 都 配置 了 NTFS 权限 。 此 外 , 共 侍 文件 夹 有 目 己 的 权限 。 
现在 ， 应 用 哪些 权限 ， 采 用 什么 顺序 ? 
下 面 是 它 的 工作 原理 : 
令 ”如 果 在 当地 登录 文件 服务 器 ， 就 只 有 NTFS 权限 (当然 ， 不 允许 非 管理 员 用 户 在 本 地 登录 到 文件 服务 器 )。 
令 ”如 果 登 录 到 客户 端 电脑 上 ， 试 图 访问 文件 共享 上 的 文件 光 ， 共 享 权限 和 NTEFS 权限 就 会 相 结合 ， 应 用 最 严 
格 的 权限 。 例 如 ， 如 果 用 户 拥 有 的 NTFS 权限 是 Full Control， 但 共享 权限 是 Read Only， 那 么 在 通过 网 络 
访问 时 ， 用 户 就 只 有 Read Only 权限 ， 因 为 该 权限 更 严格 。 
可 以 这 样 规划 权限 : 
令 ”给 组 (而 不 是 用 户 ) 分 配 权 限 。 如 果 为 一 个 拥有 数 千 用 户 的 公司 工作 ， 就 可 能 永远 无 法 为 每 个 员工 单独 配置 
权限 。 给 组 分 配 权 限 ， 只 需要 配置 组 成 员 资 格 ， 用 户 将 根据 组 成 员 资 格 获 得 权限 。 如 果 用 户 是 多 个 组 的 成 
员 ， 则 给 该 资源 应 用 限制 性 较 低 的 权限 。 
令 ”将 共 至 文件 夹 的 权限 分 配给 每 一 个 人 : Full Control。 
令 ”在 共 至 文件 夹 上 分 配 受 限制 的 NTFS 权限 ， 并 再 次 检查 : 
* 如 果 用 户 在 本 地 连接 ， 则 应 用 受 限 制 的 权限 。 
* 如 果 用 户 通 过 网 络 连接 ， 则 共享 和 NTFS 权限 结合 起 来 ， 应 用 更 严格 的 权限 。 
仿 ”小 心 Deny 权限 。 拒 绝 的 优先 级 最 高 。 即 使 是 对 茶 些 资源 拥有 完全 控制 权 的 多 个 组 的 成 员 ，Deny 权限 也 不 
允许 访问 该 资源 。 
有 天 安全 最 佳 实践 的 更 多 信息 ， 可 参见 第 8 章 。 


6.3 ”用 于 网 络 文件 的 BranchCache 


BranchCache 技术 可 为 通过 广域网 访问 文件 的 用 户 优化 网 络 流量 。. 它 是 在 Windows 7 和 Windows Server 2008 R2 
操作 系统 中 引入 的 。BranchCache 的 主要 优点 是 节省 网 络 禹 宽 ， 因 为 最 初 通 过 网 络 访问 的 内 容 缓 存在 分 文 机 构 
中 一 一 因此 ， 对 内 容 的 每 次 后 续 请 求 都 是 在 本 地 访问 的 。 

现实 世 表 中 的 BranchCache 部 署 

洛杉矶 的 一 家 手机 游戏 公司 发 展 迅 猛 ， 决 定 在 Phoenix 开设 办 事 处 。Phoenix 的 用 户 使 用 了 洛杉矶 所 有 的 基础 
设施 。 后 来 ， 该 公司 在 纽约 和 迈阿密 开设 了 分 店 。 很 快 ， 远 程 员工 报告 说 ， 从 洛杉矶 获取 数据 的 性 能 很 差 。 然 而 ， 
在 每 个 地 点 增加 更 多 服务 器 来 创建 新 的 数据 中 心 是 一 项 非常 昂贵 的 投资 。 因 此 ， 该 公司 在 其 所 有 办 公 室 部 署 了 
BranchCache， 这 样 ， 需 要 通过 网 络 访问 的 许多 文件 都 被 缓存 ， 并 在 本 地 访问 。 


操作 的 BranchCache 模式 
BranchCache( 如 图 6.4 所 示 ) 有 两 种 配置 选项 ， 用 于 可 在 本 地 存储 的 内 容 :， 放 在 客户 机 上 或 者 位 于 分 支 办 公 室 的 
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服务 器 上 。 当 内 容 存储 在 客户 机 时 ，BranchCache 在 分 布 式 缓存 模式 下 工作 。 当 内 容 存 储 在 分 文 办 公 室 的 服务 器 上 
时 ，BranchCache 以 托管 缓存 模式 工作 。 


托管 的 云 或 主办 公 室 


外 让 


Web 、 文 件 和 应 用 服务 表 


广域网 (WAN) 链 路 


分 支 机 构 2 
分 支 机 构 1 托管 缓存 模式 
分 布 式 缓存 模式 


号 已 | 有 内 昌 只 


只 有 客户 机 


6.4 BranchCache 操作 模式 


根据 业务 场景 和 IT 基础 结构 拓扑 ， 可 为 不 同 的 分 支 机 构 使 用 不 同 的 模式 。 
注意 , 分 布 式 缓存 模式 仅 限 于 客户 机 所 在 的 子 网 。 例 如, 来 目 伦 敦 子 网 的 客户 机 缓存 了 纽约 总 部 服务 器 的 内 容 。 
在 分 布 式 缓存 模式 下 ,来 目 巴 黎 子 网 的 客户 机 无 法 从 伦敦 子 网 中 发 现 和 检索 缓 仓 的 内 容 。 伦 敦 客 户 机 需要 直接 从 纽 
约 总 部 的 服务 器 中 检索 内 容 。 另 一 方面 ， 托 管 缓 仓 模式 不 受 子 网 限制 ;如 果 托 管 的 缓存 服务 器 位 于 伦 训 ， 那 么 巴黎 
的 客户 机 能 从 伦敦 服务 器 中 检索 组 人 存 的 内 容 。 
可 缓存 哪些 类 型 的 数据 ? Windows Server 2016 配置 为 使 用 BranchCache 技术 ， 提 供 了 不 同类 型 的 可 缓存 数据 : 
倒 ”文件 服务 器 的 数据 位 于 运行 File Services 服务 器 角色 和 BranchCache for Network Files 角色 的 服务 器 上 .组 
存 的 数据 包括 文件 来 ， 需 要 通过 网 络 访问 数据 的 用 户 可 以 适当 权限 共享 此 类 文件 夹 。 内 容 是 通过 SMB 协 
议 访问 的 。 
全 ”Web 服务 器 的 内 容 数 据 位 于 运行 Web 服务 器 角色 和 BranchCache for Network Files 的 服务 器 上 。 内 容 是 通 
过 HTTPS 协议 访问 的 。 
令 ”应 用 服务 器 的 内 容 数据 位 于 运行 应 用 程序 (如 WSUS 服务 器 ) 和 BranchCache for Network Files 的 服务 器 上 。 
内 容 是 通过 BITS 协议 访问 的 。 
假设 分 公司 办 公 室 的 用 户 需 要 公司 总 部 文件 服务 器 上 的 文件 ， 该 文件 通过 一 个 缓慢 的 WAN 链接 连接 。 该 文件 
服务 器 需要 安装 BranchCache 组 件 。 
全 ”用 户 首 先 需 要 有 合适 的 NTFS 和 共享 权限 来 访问 文件 。 文 件 服务 器 验证 权限 ， 然 后 生成 数据 和 段 机 蜜 的 信 
恩 散 列 ， 用 于 加 密 内 容 。 内 容 信 息 被 发 送 到 客户 机 。 
令 ”客户 闪 使 用 内 容 信 息 来 定位 请 求 的 内 容 : 
* 如 果 BranchCache 在 托管 模式 下 运行 , 在 托管 缓存 服务 器 中 搜索 内 容 , 而 客户 机 在 托管 缓存 服务 器 中 配 


置 了 托 党 缓存 服务 器 名 称 。 
* 如 果 BranchCache 运行 在 分 布 式 模式 下 ， 就 在 分 支 机 构 的 客户 机 上 搜索 内 容 ， 其 上 使 用 了 Web 服务 的 
动态 发 现 协议 。 


多 。 定位 内 容 后 ， 客 户 机 就 开始 检索 内 容 。 如 果 完整 内 容 不 在 一 个 位 置 ， 客 户 机 将 尝试 从 多 个 来 源 收集 内 容 。 
如 果 客户 机 无 法 收集 完整 的 内 容 或 者 无 法 定位 内 容 ， 就 直接 联系 总 部 的 文件 服务 器 。 
”内 容 最 后 下 载 到 客户 机 时 ， 根 据 BranchCache 模式 ， 执 行 以 下 操作 : 
。 在 分 布 式 缓存 模式 下 ， 内 容 缓存 到 客户 机 上 。 
* 在 托管 缓存 模式 下 ， 内 容 缓存 到 托管 缓存 服务 器 和 客户 机 上 。 客 户 机 使 用 托管 缓存 协议 更 新 托管 缓存 
服务 器 的 内 容 。 
在 网 络 环境 中 ， 多 个 用 户 访问 和 编辑 多 个 共享 文档 。 那 么 ， 既 然 内 容 被 缓存 了 ， 用 户 是 否 总 是 访问 文件 的 最 新 
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版 本 ? 答案 是 肯定 的 ，BranchCache 技术 会 更 新 用 户 对 文件 缓存 副本 的 所 有 编辑 。 例 如 ， 如 果 用 户 修 改 了 以 前 缓存 
的 文档 ， 编 辑 将 直接 写 入 总 部 的 服务 器 。 如 果 男 一 个 客户 机 请 求 相同 的 文件 ， 就 从 总 部 服务 器 下 载 已 编辑 的 文件 片 
段 ， 并 添加 到 托管 缓存 服务 器 上 的 缓存 内 容 或 托管 缓 仔 内 容 的 客户 机 上 。 

可 使 用 Server Manaeger 或 Windows PowerShell 安装 File Server 角色 的 BranchCache 组 件 。BranchCache 部 署 包 
括 以 下 步骤 ; 

(1) 配置 BranchCache 内 容 服务 器 。 在 位 于 公司 总 部 、 要 用 作 BranchCache 内 容 服务 器 的 文件 服务 器 上 ， 安 装 
File Server 角色 的 BranchCache for Network Files 组 件 ， 如 图 6.5 所 示 。 如 果 BranchCache 用 于 Web 服务 器 或 应 用 服 
务 器 ， 还 应 该 安装 BranchCache 特性 ， 如 图 6.6 所 示 。 


Before You Begin Select One or more roles to install on the selected server, 


nstallation Type Roles Description 


Server Selection A| BranchCache for Network Files 


LL] Active Directory Lightweight Directory Services 
i 9 provides support for BranchCache 


Server Roles L |] Actrve Directory Rights Management Services : | 
L | Device Health Attestation om thrs tle server. BranchLache rs a 
el LL |] GHCP Server wide arca nctwork (WAN) bandwidth 
Confirmation OD DNS Server optimization technology that caches 
器 Fax Server content from your main office 
4 国 | File and Storage Services (2 of 12 installed) content servers at branch office 
a [ 画 | File and iSCSI Services (1 of 11 installed) locations, allowng chent computers 
“| File Server (Installed) at branch offices to access the 


BranchEache for Metwork Files content locally rather than over the 
| | Cata Daeduplication WAN. After you complete 

[DL] DFS Namespaces installation, you must share folders 
DD CFS Replication and enable hash generation for 
DD File Server Resource Manager shared folders by using Group Policy 
L | File Server VS5 Agent Service or Local Computer Policy. 

L |] scsl Target Server 

[|] iscsl Target Storage Provider (VDS amd Vs: 

LL] Server for NFS 

| 1 Work Folders 


图 6.5 Server Manager 中 安装 BranchCache for Network Files 


pefore You Banin select one or more features to install on the selected server. 
ee | a ed 直上 


Installation Type Features Description 


Server Selection p 口 .NET Framework 3.5 Fealures , BranchCache installs the services 
erver Roles b lw) NET Framewerk 4.6 Features (Installed) requlired to configure thts computer 


b [OD Background Intelligent Transfer Service (BITS) as elther a hosted cache SEVer of 3 
-dl [DD] BitLocker Drive Encryption BranchCache-enabled content 
Confirmation 器 BitLocker Network Unlock a 
earanchCache content server, tt must also be 
DD Client for NFS confiqgured as etther a Hypertext 
[DD Containers Transfer Protocol (HTTRP) web senver 
DD Data Center Bridging ora Background Intelligent Transfer 
口 Direct Play Service (BITS)-based application 
口 Enhanced Storage server, To deploy a BranchCache- 
enabled file server, use the Add 
Koles Wzard to nstall the File 
HEVvIces server rale with the File 
Server ard BranchCache for netyork 


L |] Failewver Clustering 

L] Group Palicy Management 

L | Hast Guardian Hyper-V Support 
口 Wo Quality of Service 
加 lls Hostable Web Core Tias ro eamvicer. 
[| Internet Printing Client 

OD IP Address Management (IPAM) Server 

[| iSNS Server service 


6.6 在 Server Manager 中 安装 BranchCache 特性 


(2) 创建 应 用 于 BranchCache 内 容 服务 器 的 Group Policy 对 象 。 选 择 Hash Publication for BranchCache 下 的 
Enabled 单 选 按钮 ， 如 图 6.7 所 示 。 此 设置 位 于 Computer Configuration/Policies/Administrative Templates/Network/Lanman 
Server/! Hash Publication for BranchCache 下 。 


ne Hash Publication for BranchtCache 


Hash Publication for BranchCache Plea stdin | i 


O Not Configured 《omment 
(®) Enabled 
OV Disabled 


Supported on: | pr least Windows Server 2008 R2 or Windows 7 


图 6.7 启用 Hash Publication for BranchCache 
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(3) 使 用 缓存 设置 Enable BranchCache， 来 配置 共享 文件 夹 属性 。 

(4) 配置 BranchCache 托管 缓存 服务 器 : 

令 ”为 在 分 支 机 构 部 署 BranchCache 托管 缓存 服务 器 ， 在 Server Manager 中 安装 BranchCache 特性 ， 
所 示 。 

令 ”为 了 配置 BranchCache， 在 托 绾 缓存 服务 器 模式 下 操作 ， 运 行 以 下 cmdlet: 

Enable-BCHostedServer -RegplsteTSCP 

(5) 配置 BranchCache 客户 靖 : 

令 ”为 在 客户 机 上 启用 BranchCache， 并 配置 不 同 BranchCache 设置 ， 应 创建 一 个 Group Policy 对 象 ， 将 其 应 
用 到 使 用 BranchCache 功能 的 客户 机 上 。 这 些 设置 位 于 Computer Configuratiom\Policies\ Administrative 
Templates\NetworkK\BranchCache 下 。 各 种 设置 包括 : 打开 BranchCache， 指 定 托管 缓存 服务 器 ， 指 定 绥 存 
内 容 使 用 的 磁盘 空间 百分比 ， 如 图 6.8 所 示 。 


Comrment 
aTurn on BranchCache Not configured 
[| Set BranchCache Distnbuted Cache rmode Not conflgured 
LE Set BranchCache Hosted Cache mode Not configured 


(| Enable Automatic Hosted Cache Discovery by Service Conn... Notconfigured 


I Configure Hosted Cache Servers Not configured 
(2) Configure BranchCache for netvwork files Not configured 
(| Set percentage of disk space used for client computer cache Notconfigured 
[3 Set age for seqrmnents In the data cache Not configured 


li Configure Client BranchCache version Suppott Not configured 


图 6.8 在 客户 机 上 配置 BranchCache 设置 的 Group Policy 对 象 


6.4 DFS 名 称 空间 和 DFS 复制 


许多 组 织 分 布 在 多 个 不 同位 置 。 有 些 在 一 个 城市 里 ， 有 些 在 全 国 甚至 全 世界 都 有 分 支 机 构 。 这 种 情况 下 ， 提 供 
对 文档 的 一 致 访问 是 具有 挑战 性 的 , 因为 文件 服务 器 的 数量 可 以 达到 数 百 , 共 至 文件 来 的 数量 可 达到 数 十 万 甚至 更 多 。 

分 布 式 文件 系统 (DFS) 是 在 Windows Server 2000 中 引入 的 ， 并 不 断 改进 ， 以 帮助 组 织 有 效 地 管理 分 布 式 组织 场 
景 中 的 共享 文件 来 。 DFS 同 用 户 提 供 对 最 近 服 务 器 中 的 文件 夹 和 文件 的 访问 , 同时 通过 在 不 同位 置 的 服务 器 上 安装 
副本 ， 来 提供 高 可 用 性 。 此 外 ， 用 户 将 不 需要 记 住 几 十 其 至 几 百 个 文件 服务 器 名 称 。 

DFS 名 称 空 间 是 文件 和 存储 服务 的 组 件 。 它 为 用 户 提 供 了 对 分 布 在 不 同 服务 器 上 的 共享 文件 夹 的 访问 ,在 这 些 
服务 器 上 ， 物 理 位 置 对 终 问 用 户 是 不 可 见 的 。 相 反 ， 用 户 使 用 方便 的 、 用 户 友 好 的 命名 约定 来 伍 看 共享 文件 夹 的 好 
辑 基础 结构 。 当 访问 文件 夹 时 ，DFS 上 自动 将 用 户 连 接 到 最 近 的 物理 服务 器 。 此 外 ， 可 将 DFS 配置 为 复制 共享 文件 夹 
的 内 容 ， 这 样 ， 如 果 因 某 种 原因 ， 无 法 使 用 最 近 的 文件 服务 器 ， 请 求 就 会 重 定 同 到 男 一 个 文件 服务 器 上 的 文件 夹 副 
本 。 图 6.9 显示 了 DFS 体系 结构 的 一 个 示例 。 


二 


文件 夹 一 营销 


名 称 空 间 文件 夹 目标 


SE | 


名 称 空间 
服务 器 es Eee 
名 称 空 


有 WContoso\Corporate 
间 根 项 


WNY-FS I\Pictures 


WLA-FS3\Pictures : 
条目 标的 
文件 飞 


图 6.9 DFS 体系 结构 
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DFS 名 称 空间 由 以 下 组 件 组 成 : 
名 称 空 间 服 务 句 : 用 户 使 用 名 称 空间 约定 来 访问 共享 文件 夹 基础 结构 。 名 称 空间 由 名 称 空 间 服 务 占 托管 。 
名 称 空间 根 : 与 物理 共享 文件 夹层 次 结构 一 样 , 根 表 示 每 个 文件 炎 和 子 文件 夹 的 起 始 位 置 , 例如 \ \Contoso\HR\。 
文件 夹 : DFS 中 的 每 个 文件 夹 都 由 位 于 不 同 服务 器 上 的 物理 文件 夹 的 副本 表示 。 
文件 夹 目 标 : 与 DFS 中 的 文件 夹 相关 联 的 物理 文件 夹 表示 文件 炎 目 标 。 例 如 ， 文 件 夹 \ \Contoso\HR 可 能 匹配 
文件 夹 目 标 \NY-FS07\Shares\Departments\HR。 
可 从 两 种 类 型 的 DFS 名 称 空间 中 选择 : 
令 ”基于 域 的 名 称 空间 ， 它 具有 以 下 特点 : 
* 使 用 Active Directory 域 服务 的 组 织 。 
4 名 称 空 间 信息 存储 在 Active Directory 中 。 
* 多 个 名 称 空间 服务 器 用 于 高 可 用 性 。 
* 名 称 空间 通过 以 下 路 径 访问 : \\ NetBIOSDomainName\RootName。 
令 ”独立 名 称 空间 具有 以 下 特点: 
* 组 织 不 使 用 Active Directory 域 服务 。 
* 名 称 空间 信息 存储 在 注册 表 和 内 存 缓存 中 。 
* 故障 转移 集群 用 于 名 称 空 间 的 高 可 用 性 。 
* 如 果 不 使 用 Active Directory 域 服务 ， 则 DFS 复制 功能 不 能 用 于 复制 。 
* 名 称 空间 通过 以 下 路 径 访 问 : \\ ServerName\RootName。 


6.4.1 访问 DFS 中 的 共享 文件 来 
这 里 描述 了 在 基于 域 的 DFS 基础 结构 中 访问 共享 文件 夹 的 过 程 ， 如 图 6.10 所 示 。 


域 控 制 伪 


中 已 


DFS 基于 域 的 
客户 请 根 服务 器 


链接 目标 
图 6.10 访问 DFS 中 共享 文件 严 的 过 程 


(1) 用 户 在 客户 机 上 键入 DFS 路 径 ， 例 如 N\Contoso.comNHR 。 
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(2) 客户 机 回 域 控制 器 得 询 DFS 根 目 标的 列表 。 

(G3) 域 控 制 器 返回 根 目标 的 列表 。 

(4) 客 尸 机 选择 第 一 个 根 目标 ， 并 为 请 求 的 DFS 路 径 发 送 得 询 。 

(5) 根 服务 器 返回 链接 目标 列表 。 

(6) 客户 由 连接 到 列表 中 的 第 一 个 链接 目标 。 

DFS 名 称 空间 可 以 用 GUI 或 Windows PowerShell 安装 。 对 于 GUI 安装 , 打开 Server Manager 并 启动 Add Roles 
and Features 同 导 。 浏 览 文 件 和 存储 服务 ， 选 择 DFS Namespaces， 并 完成 同 导 ， 如 图 6.11 所 示 。 


select one or more roles to iInstall an the selected server. 


Before YU Begin 


Installation Type Roles Description 
3erVer Selection 口 DHCP Server A DFS Namespaces enables you te 
server Roles 口 DNS Server group shared foalders lacated on 
DFax Server different servers Imto one or more 
Faatures . . - jE 1 
4 [®] File and Storage Services (2 of 12 installed) logically structured namespaces. 
Confirmation 4 国 File and iSCSI Services (1 of 11 installed) nt i 
HH] File Server (Installed) a single shared folder with a series 
L |] BranchCache for Network Files of subfolders. However, the 
器 Data Deduplication underlying structure cf the 
ES RE namespace Can consist of numerous 
器 CFS Replication shared folders located on different 


, servers and im multiple sites. 
LL | File Server Resource Manager P 


[| File Server WSS Agent Service 
[| iSC5l Target Server 
[| scsl Target Storage Prowvider (VDS and V3: 
L | Server for NFS 
LL ] Weork Folders 
- Storage Services (Installed) 
[|_| Host Guardian Service 
| | Hyper-Y 


起 


图 6.11 在 Server Manager 中 安装 DFS Namespace 


接 下 来 ， 应 该 创建 一 个 DFS Namespace， 这 是 使 用 DFS Management 控制 台 完 成 的 。 从 Server Manager 的 Tools 
保单 中 选择 DFS Management 控制 台 ， 可 以 局 动 它 。DFS Management 控制 台 如 图 6.12 所 示 。 


-3 CFS Managerment 
的 File Actiomn We Viindow Help 
和 和 时 | 委 | 国 | 时 | 目 辐 


re ets 和 


虹 Narnespaces 
EY Replication 
| . 是 EE,.,, 
There are ro ttermns to showw in this view, se New Nomespoct 
oa LddNamespaces to Di.. 


Delegate hlanagernent a, 
Vievww kh 


Nevw Windorw Fram Here 


:3 Export List.. 


Help 


图 6.12 DFS Management 控制 台 


局 动 New Namespace 问 导 ， 输 入 承载 名 称 空间 的 服务 器 和 名 称 空间 的 名 称 。 因 为 前 面 解释 了 基于 域 的 名 称 空间 
和 独立 名 称 空 间 之 间 的 区 别 ， 所 以 下 一 步 是 在 这 两 种 类 型 的 名 称 空间 中 选择 一 种 。 建 议 选 择 Windows Server 2008 
名 称 空 间 模 式 。 最 后 检查 设置 ， 并 确认 名 称 空 间 的 创建 。 创 建 名 称 空 间 后 ， 单 击 控制 台 的 Details 窗 格 中 的 选项 卡 ， 
可 以 编辑 设置 (如 有 必要 )。 

如 果 豆 欢 使 用 Windows PowerShell， 可 运行 以 下 命令 ， 创 建 一 个 新 的 DFS Namespace: 


New-DEsnRoot ~—TargetPath ™\\FS\Corporate™ -TYPe DomainV2 -Path \\Contoso\Corporate 


该 命令 将 创建 一 个 DFS Namespace， 其 中 \\Contoso\Corporate 是 路 径 的 根 ，WEFS\ Corporate 是 共享 文件 夹 ， 用 作 
根 路 径 的 目标 文件 夹 。 值 为 DomainV2 的 开关 选项 意味 着 名 称 空间 类 型 是 Windows Server 2008 模式 。 

一 旦 创建 了 名 称 空间 ， 就 该 创建 共享 文件 夹层 次 结构 了 。 右 击 名 称 空间 ， 并 选择 New Folder， 可 创建 文件 光 和 
文件 夹 目标 。 注 意 ， 名 称 空 间 预 览 是 \DomainNameNNamespace\FolderName， 而 文件 夹 目 标 包 含 实 际 的 服务 器 名 称 
\\ServerName\FolderName\。 如 图 6.13 所 示 ， 文 件 夹 目标 是 特定 服务 器 上 共 至 文件 来 的 UNC 路 径 。 可 在 DFS 管理 
控制 台中 使 用 此 回 导 继续 构建 文件 夹层 次 结构 。 
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创建 新 文件 夹 的 Windows PowerShell 命令 如 下 。 


New-DfsnFolder -Path "\\Contoso\Corporate\Departments™" -TardetPath ™\\FS\Corporate\ 
Departments"™" 


在 构建 完 文件 共享 层次 结构 后 ， 可 以 部 普 DFS 复制 功能 ， 来 配置 DFS 的 高 可 用 性 和 可 伸缩 性 。DFS 复制 (DFS 
Replication) 也 是 文件 和 存储 服务 的 一 个 组 件 ， 应 该 另外 安装 它 ， 如 图 6.14 所 示 。 


商品 可 下 口 | 本 er Tarqget 


Path to folder target: 


Exarmple: "Serve Shared Falden\Falder 


图 6.13 创建 文件 夹 名 称 和 文件 夹 目 标的 路 径 


Before You Begin Select one or more roles to install on the selected server, 


Installation Type Roles Description 


Server Selection | ， ， ji ie 1 
leds [DL Active Directory Lightweight Directory Senvices DFS Replication 1s a multimaster 


[DL] Active Directory Rights Management Services replication engine that enables you 


DD Device Health Attestation to synchronize folders on multiple 
Features 口 DHCP Server servers across local or wide area 
Confirmation L] DNS Server network (WAN) network 
Fax Seruer connections. lt uses the Remote 
4 国 | File and Storage Services (3 of 12 installed) Differential Compression (RDC) 


File and iSCSI Services (2 of 11 installed) protocol to update only the portions 
司 File Server (Installed) of files that have changed since the 


DD BranchCache for Network Files last replication. DFS Replication can 
口 Dats Dedupiication be used in conjunction with DFS 


-| DFS Namespaces (Installed) PT PI 


DFS Replicatio 

[L ] File Server Resource Manager 

LL |] File Server V35 Agent Service 

LL iSCSI Target Server 

| | SC5| Target Storage Provider (VDS and Vs: 
[ ] Server for NFS 

| 1 Work Folders 


图 6.14 安装 组 件 
6.4.2 ”配置 DFS 复制 


DFS 复制 允许 创建 多 个 文件 夹 目 标 ， 并 配置 复制 ， 以 确保 各 个 目标 的 内 容 都 相同 。 文 件 夹 目 标 可 使 用 排序 方法 
来 配置 ， 以 进行 引用 ， 这 意味 着 当 客 户 机 试图 连接 共享 文件 顽 时 ， 会 从 名 称 空间 服务 器 中 接收 目标 列表 。 客 户 机 符 
试 访问 列表 中 的 第 一 个 目标 。 如 果 该 目标 不 可 用 ， 客 户 机 将 符 试 访问 下 一 个 目标 。 为 优化 市 宽 的 利用 率 ， 应 该 配置 
Active Directory 站 点 ， 因 为 默认 情况 下 ， 客 户 机 站 点 中 的 目标 轧 在 引用 中 首先 列 出 。 还 可 以 定制 其 他 站 点 中 的 目标 
的 顺序 。 

运行 Replicate Folder Wizard( 如 图 6.15 所 示 )， 可 在 DFS Management 控制 台 的 DFS Namespace 中 配置 文件 夹 上 
的 DFS 复制 。 癌 导 会 创建 一 个 复制 组 ， 其 中 包含 存放 文件 夹 目 标的 服务 器 。 使 用 回 导 输入 的 参数 包括 : 

令 ”复制 组 名 称 和 复制 文件 夹 的 名 称 。 

令 ”开始 复制 的 主要 成 员 。 

令 ”复制 拓扑 类 型 。 
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4 Hub and spoke: 它 需 要 三 个 或 更 多 的 成 员 ， 发 言 的 成 员 连 接 到 一 个 或 多 个 中 心服 务 器 。 当 内 容 来 和 目 hub 
成 员 时 ， 建 议 使 用 此 拓扑 ， 然 后 将 其 复制 到 发 言 的 成 员 。 
* Full Mesh: 每 个 成 员 与 其 他 所 有 成 员 相互 复制 。 如 有 果 组 中 有 人 至 多 10 个 成 员 ， 则 推荐 使 用 此 拓扑 。 
* No topology: 这 个 选项 允许 以 后 创建 拓扑 ， 在 创建 拓扑 之 前 ， 不 会 开始 复制 。 
令 ”Replication Group Schedule and Bandwidth。 这 个 同 导 提 供 了 两 个 选项 ; 
* 持续 复制 ， 在 16 kbps 到 Fuall 之 间 选 择 合适 的 带宽 。 
* 在 指定 的 日 期 和 时 间 进 行 复制 。 


Pe Replicate Folder VYizard 


a Replication Group Schedule and Bandwidth 
” 


Steps: Select the replication Schedule and bandwidth to be used by default for all new 
connections Im the rspllsation group. 

Beplicsation Broup and 

Peplcsated Folder Name Peplcate continuously Using the specified bandywdth 


Replication Eligibility Use this option to enable replication 24 hours a day. seven days a week 
| using the followng bandvwwidth: 
Primary hlermber 


Topology Selection Bardwidth: 


Replication Group Sehedule | Full se 
and Bandwidth 


Review Settings and Create OO) Replicate during the specified days and limes 

PE Group Use this option io specily the davs and tmss a which replication occurs by 

Confimation defaut. The initial raplication schedule has no replicalion intervals: you must 
create a least ore replication mnterval belore replication can occur. 


Edit Schedue. 


《Previous [Next> | | Cancel | 
6.15 配置 DFS 复制 


癌 导 完成 后 , 会 显示 一 个 带 有 任务 状态 信息 的 确认 页 面 。 可 随时 编辑 复制 组 一 一 例如 , 可 回 组 中 添加 更 多 成 员 。 
可 使 用 DFS 管理 控制 台 或 Windows PowerShell 进行 编辑 。 默 认 情 况 下 ， 所 有 DFS 管理 任务 都 可 由 域 管理 组 的 成 员 
执行 。 但 右 击 名 称 空 间 ， 并 选择 Delegate Management Permissions 选项 ， 可 以 定制 权限 。 

要 使 用 Windows PowerShell 配置 文件 炎 复 制 ， 运 行 以 下 命令 : 

New-DfsReplicatedEFolder -GroupName "Departments" -FolderName "HR" 

还 可 启动 New Replication Group 问 导 ， 来 创建 复制 组 ， 该 问 导 提供 了 两 种 类 型 的 复制 组 : 

令 ”多 用 途 复制 组 。 用 于 在 两 个 或 多 个 服务 器 之 间 配 置 复制 ， 以 便 发 布 和 共 至 内 容 。 

倒 ”用 于 数据 收集 的 复制 组 。 配置 两 个 服务 器 之 间 的 双 问 复制 , 例如 分 六 办公 室 服 务 器 和 中 心服 务 器 。 此 组 类 

型 用 于 收集 中 心服 务 器 上 的 数据 ， 并 备份 中 心服 务 器 的 数据 。 

要 编辑 名 称 空间 属性 , 请 右 击 名 称 空间 , 然后 选择 Properties。 默 认 情 况 下 , 客户 机 将 缓存 名 称 空间 引用 300 秒 。 
可 将 客户 站 点 以 外 目标 的 排序 方法 为 : 

令 ” 低 成 本 

令 ”随机 顺序 

令 ”排除 客户 站 点 以 外 的 目标 

在 操作 过 程 中 ， 名 称 空间 服务 器 会 轮 询 域 控制 器 ， 以 获得 当前 名 称 空间 的 元 数据 。 可 在 两 种 轮 询 类 型 中 进行 选 
择 ; Optimized for Consistency 和 Optimized for Scalability。 选 择 Optimized for Consistency 轮 询 时 ， 每 次 名 称 空间 更 
改 时 ， 名 称 空间 服务 器 使 用 PDC 模拟 器 角色 轮 询 域 控制 器 。 选 择 Optimized for Scalability 时 ， 每 个 名 称 空间 服务 器 会 
定期 轮 询 其 最 近 的 域 控 制 器 。 还 可 为 名 称 空间 配置 基于 访问 的 枚 举 ， 这 是 隐 距 用 尸 无 权 访 问 的 文件 和 文件 夹 的 过 程 。 
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配置 后 ,， 右 击 文件 来 ， 并 选择 Properties, 可 以 进一步 编辑 文件 夹 属性 。 客 户 端 默认 将 文件 夹 引 用 缓存 1800 秒 。 
引用 设置 是 从 根 节点 继承 的 ， 在 故障 转移 和 故障 恢复 场景 中 ， 客 户 端 可 配置 为 故障 恢复 到 首选 目标 。 

由 于 业务 的 需求 ， 有 一 天 可 能 需要 重新 组 织 DFS 文件 夹层 次 结构 中 的 文件 夹 。 如 果 出 现 这 种 情况 ， 可 以 重 命名 或 
把 文件 夹 移 到 DFS 名 称 空间 中 。 确 保 将 文件 夹 名 称 空间 中 的 所 有 更 改 通知 用 户 ， 以 便 他 们 可 以 正确 访问 文件 夹 。 


6.4.3 ”DFS 监视 和 故障 排除 


与 组 织 中 部 署 的 任何 其 他 技术 一 样 ， 应 该 监视 DFS， 并 在 必要 时 对 其 进行 故障 排除 ， 以 防止 任何 潜在 问题 。 
DFS 管理 控制 台 提 供 了 监视 DFS 和 排除 DFS 故障 所 需 的 工具 。 这 些 工具 包括 : 
令 ”Diagnostic Reports 回 导 允许 运行 以 下 报告 和 训 试 : 
* Health Report 生成 关于 复制 健康 和 效率 的 HTML 报告 ， 包 括 错误 、 警 告 、 不 能 用 于 报告 的 服务 器 ， 还 
包括 有 关 错 误 、 和 警告 和 提示 消 恩 等 服务 器 细节 。 
* 在 复制 文件 来 中 生成 一 个 测试 文件 ， 完 成 关于 复制 进度 的 Propagation Test 测试 ， 最 后 ， 显 示 测 试 的 状 
态 和 关于 错误 (如 果 有 ) 的 信息 。 
* Propagation Report 生成 一 个 HTML 报告 ， 其 中 包括 : 每 个 复制 成 员 的 复制 进度 信息 、 已 完成 的 测试 列 
表 、 未 完成 的 测试 列表 、 珊 有 错误 的 测试 列表 、 复 制 时 间 图 、 包 含 在 测试 中 的 复制 成 员 服 务 器 列表 。 
令 ”验证 拓扑 工具 显示 关于 特定 复制 组 的 拓扑 状态 信息 
”一些 Windows PowerShell 命令 可 用 来 监测 DFS 和 排除 DFS 故障 ， 包 括 : 
* Get-DfsnServerConfiguration 显示 DFS 根 名 称 空间 服务 器 的 DFS 名 称 空间 设置 。 
* Get-DfsnRoot 显示 DFS 名 称 空间 的 设置 。 
* Get-DfsnRootTarget 显示 DFS 名 称 空 间 的 根 目标 设置 。 
* Get-DfsnFolder 显示 DFS 名 称 空间 文件 夹 设 置 。 
* Get-DfsnFolderTarget 显示 DFS 名 称 空间 文件 夹 的 目标 设置 。 
* Get-DfsnAccess 显示 DFS 名 称 空 间 文 件 夹 的 权限 。 
注意， 在 最 急 的 DFS 复制 部 罩 期 间 ， 分 文 机 构 之 间 的 复制 可 能 非常 耗 时 。 为 加 快速 度 ， 可 选择 为 初始 复制 殉 
隆 数据 库 。 可 使 用 以 下 命令 导出 DFS 数据 库 ， 并 创建 数据 库 的 克隆 ; 
Export—DfsrClone -Volume C: -Path "C:\DFSClone" 
该 命令 创建 一 个 DFS 数据 库 克隆 ， 并 将 其 存储 在 C:\DFSClone 文件 夹 中 。 接 下 来 ， 可 将 克隆 的 数据 库 复制 到 
分 支 办 公 室 DFS 服务 器 上 一 个 名 为 CNDFSClone 的 文件 夹 中 ， 并 使 用 以 下 命令 导入 克隆 的 数据 库 : 
Import-DfsrClone -Volume C: -Path "“C:\DFSClone" 
处 理 DFS 部 闭 的 常理 员 应 该 与 网 络 团队 共享 一 个 网 络 端 口 列 表 ， 以 便 打 开 适 当 的 端口 ， 让 DFS 正常 工作 。 
表 6.1 列 出 了 DFS 使 用 的 所 有 端口 以 及 涉及 DFS 通信 的 计算 机 。 


表 6.1 DFS 网 络 端口 列表 


服务 名 称 TcP 


域 控 制 器 ， 不 是 域 控 制 器 的 根 服务 器 ， 充当 链接 目标 的 服务 嚣 ， 作 为 链 


NetBIOS 名 称 服 137 137 
il 接 目 标的 客户 机 
有 域 控制 器 ， 不 是 域 控制 各 的 根 服务 器 ， 充 当 链接 目标 的 服务 器 ;作为 链 | 138 
接 目标 的 客户 机 
域 控制 器 ， 不 是 域 控制 器 的 根 服务 器 ， 充 当 链 接 目标 的 服务 器 ， 作 为 甸 s 
NetBIOS 会 话 服务 WE a 139 
接 目标 的 客户 机 
LDAP 服务 器 域 控制 器 389 | 389 


远程 过 程 调用 (RPC) 端 点 映 


服务 器 消息 块 (SMB) 域 控 制 嚣 ， 不 是 域 控 制 器 的 根 服务 器 ; 充当 链接 目标 的 服务 嚣 ， 作 为 链 


二 


接 目 标的 客户 机 
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0.3 FSRM 


Windows Server 2016 文件 和 存储 服务 的 另 一 个 组 件 是 FESRM(File Server Resource Manager)， 文 件 服务 器 资 
源 管 理 器 。 它 在 Windows Server 2008 R2 中 作为 角色 服务 引入 ， 人 允许 用 户 对 存储 在 文件 服务 器 上 的 数据 进行 分 
类 和 管理 。FSRM 适用 于 现代 文件 服务 器 数据 管理 中 的 多 个 场景 ;例如 控制 提供 给 用 户 的 磁盘 配额 ， 控 制 什 么 
类 型 的 数据 可 保存 在 文件 服务 器 上 , 分 类 用 于 数据 保护 和 安全 目的 的 数据 ， 以 及 目 动 完成 与 文件 服务 器 进程 相 
关 的 不 同类 型 的 通知 服务 。 

FSRM 包括 以 下 特性 : 

文件 分 类 基础 结构 : 文件 分 类 基础 结构 目 动 执行 数据 分 类 过 程 。 可 根据 不 同 标准 进行 分 类 。 每 个 从 合 官 理 员 定 
义 的 标准 的 文件 都 会 分 配 一 个 特定 分 类 。 

文件 管理 任务 : 文件 管理 任务 目 动 基于 分 类 执行 文件 管理 功能 。 一 旦 对 数据 进行 了 分 类 ， 束 可 以 便 建 基于 文件 
分 类 执行 特定 操作 的 策略 。 例 如 ， 可 应 用 一 个 策略 ,该 策略 只 允许 在 财务 部 门 工作 的 用 户 访 问 具有 人 金融 数据 分 类 的 
文件 。 

配额 管理 : 配额 管理 对 于 控制 用 户 使 用 多 少 磁盘 空间 以 及 在 文件 服务 器 上 保留 多 少 磁 盘 空 间 非 党 有用。 用 户 每 
天 上 传 的 文件 ， 加 上 文件 大 小 不 断 增加 的 趋势 ， 可 能 会 迅速 填 满 文件 服务 器 的 硬盘。 管理 员 可 为 应 用 于 文件 来 或 车 
的 不 同 场 景 创建 配额 模板 。 

存储 报告 : 存储 报告 帮助 管理 员 监 视 磁盘 的 使 用 情况 ， 并 确定 磁盘 可 能 耗 尽 空 用 空间 的 任何 潜在 情况 。 如 
果 组 织 的 用 户 要 使 用 大 量 数 据 ， 就 可 为 这 些 用 户 定 义 监 视 , 因为 文件 服务 器 上 的 大 多 数 文 件 都 是 由 这 些 用 户 上 

文件 师 选 管理 : 很 多 管理 员 季 和 上 发现， 文件 服务 器 几乎 没有 空闲 的 磁盘 空间 。 经 过 检查 ， 管 理 员 经 第 会 指出 ， 
大 部 分 磁盘 空间 是 由 非 业 务 的 私人 数据 占用 的 ， 特 别 是 包含 音乐 和 视频 内 容 的 文件 。 文 件 短 选 将 检测 用 户 不 允许 存 
储 在 文件 服务 器 上 的 任何 文件 类 型 。 

在 Server Manager 的 文件 和 存储 服务 中 选择 FSRM 组 件 , 可 安装 它 , 如 图 6.16 所 示 。 也 可 在 Windows PowerShell 
中 运行 以 下 命令 来 安装 它 : 


Install-WindowsFeature -Name FS-Resource—-Manager -lIncludeManagementTools 


elect ome of more roles to mstall on the selected server. 


Roles Desecription 


器 DHCP Server File Server Resource Manager helps 
LL] DNS Server you moanage and understand the 
器 Fan Server files and folders on a file server by 
4 转 | File and Storage Services [2 of 12 installed) Scheduling file management tasks 
a [®)] File and SCS| Services (1 of 11 installed) and storage reports classfynng files 
File Server (Installed) and folders, configurnng folder 
| | BranchCache fer Netwerk Files quotas, and defining file screening 
| Policies, 


| | sc Target Server 
[ Styl Target Storage Prowder (VDS and VS 
日 9 


Morage Services (Installed) 
| | Rest Guardian Service 
| Hyper:V 


图 6.16 在 Server Manager 中 安装 FSRM 
注意 ， 只 有 NTFS 卷 支持 FSRM。 
6.5.1 FSRM 功能 部 闭 


FSRM 包含 多 个 特性 , 但 每 个 特性 的 部 署 关 型 取决 于 组 织 的 业务 需求 。 安 装 FSRM 组 件 后 , 可 在 Server Manager 
的 Tools 课 单 中 运行 File Server Resource Manager 控制 侣 ， 开 始 配置 FSRM 特性 ， 如 图 6.17 所 示 。 
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File Server Resource anager 

File Action View Help 

和 中 | 辐 | 晤 | 目 辐 

3 File Server Resource banager (Local | arne Actions 


> Quota Management 状 Quota hanagqgernent , File Server Resource lanager tLocal) 


> BE9 File screening lanagerment 本 


上 Storage Reports Management 本 Connectto Another Computer.,. 


» I Classification Managerment 
LB File Nanagement Tasks 


闻 storag: Reports anagerment . 
Classification Management et label els 


File Nanagerment Tasks View 
:a Export List,., 


a Help 


图 6.17 配置 FSRM 特性 


6.5.2 配置 常规 FSRM 选项 
在 配置 每 个 FSRM 选项 之 前 ， 在 FSRM 控制 台 的 Actions 窗 格 中 选择 Configure Options， 来 配置 常规 选项 ， 如 


图 6.18 所 示 。 
File Server Resource Nlanager Options 让 

File Screen Audit Automaltic Classification hccess-Dened bssistance 
EmalNotilications NotificationLimits Storage Reports Repaort Locatiors 
SMTP server 
Specily which SMTP server to use when sending notifications and storage 
repolts. 
SMTP server name or |P address: 
Defaul e-mall settings 
Specily the defaults to use when sending notifications and storage reports to 
adrministrators by e-mail. 
Default adrminmistrator reciplents: 
Fomat: account@doman. Use a semicolon to separate mulliple addresses 
Default "From" e-mail address: 
F5RM 人 FS5.Lontoso.com 

To wenhy your settings you can send a test e-mail to the delault recipients. 

SendTestE-mail | 

图 6.18 FSRM 选项 
FSRM 选项 包括 : 


Email Notifications( 电 子 邮 件 通 知 ): 可 配置 SMTP 服务 器 名 称 或 IP 地 址 ， 用 于 发 送 通知 和 存储 报告 ， 配 置 发 
送 方 和 接收 方 ， 并 通过 发 送 测试 电子 邮件 来 验证 设置 。 

Notification Limits( 通 知 限制 ): 应 防止 FSRM 创建 大 量 事件 ， 因 此 可 对 在 特定 间隔 (默认 为 60 分 钟 ) 创 建 事 件 的 
通知 应 用 限制 。 

Storage Reports( 存 储 报告 ): 发 送 的 存储 报告 可 根据 具体 要 求 用 不 同 参 数 进行 定制 。 例 如 ， 可 定制 文件 的 最 小 
字 节 数 ， 来 编辑 Large Files 报告 。 

Report Locations( 报 告 位 置 ): 默认 情况 下 ， 不 同类 型 的 存储 报告 位 于 Ci:\ StorageReports 文件 夹 。 可 目 定 义 
此 文件 夹 及 其 子 文件 夹 。 

File Screen Audit( 文 件 第 查 审核 ): 如 果 得 得 活动 需要 记录 ， 以 备 日 后 检查 ，FSRM 可 选择 在 审核 数据 库 中 记录 
生得 活动 。 稍 后 可 通过 运行 File Screen Auditing Report 来 检查 活动 。 默 认 情 况 下 不 启用 此 选项 。 

Automatic Classification( 自 动 分 类 ): 此 选项 卡 包 含有 关 调 度 和 运行 文件 分 类 的 设置 。 此 外 ， 还 可 配置 时 间 限 
制 、 生 成 日 志文 件 、 配 置 日 志文 件 类 型 。 

Access-Denied Assistance( 拒 绝 访问 帮助 ): 如 果 用 户 被 拒绝 访问 文件 ， 他 们 可 辐 组 织 中 的 支持 团队 请 求 帮 助 。 
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这 个 选项 卡 中 配置 了 有 关 帮 助 的 信息 ， 例 如 通用 文 持 和 共享 权限 文 持 。 默 认 情 况 下 不 局 用 此 选项 。 


6.5.3 ”分 类 管理 


文件 分 类 根据 定制 的 标准 对 文件 进行 评估 和 分 类 。 例 如 ， 将 文档 分 类 为 机 密 文 档 、 内 部 文档 或 公共 文档 。 可 以 
使 用 不 同 关 型 的 文件 和 文件 夹 属性 来 执行 分 类 。 此 外 ， 分 类 任务 可 以 目 动 完成 ， 如 果 管 理 大 量 文件 服务 器 ， 并 且 组 
织 对 安全 性 比较 关注 ， 这 将 非常 方便 。 

在 FSRM 控制 台中 导航 到 Classification Management， 可 局 用 文件 分 类 ， 其 中 配置 选项 包括 以 下 两 个 组 件 : 

令 ”分 类 属性 : 可 定义 分 类 属性 和 值 ， 运 行 分 类 规则 。 就 可 以 把 属性 值 分 配给 文件 。 分 类 属性 可 以 包括 不 同 关 

型 ， 例 如 是 / 否 、 日 期 -时 间 、 数 字 、 多 项 选择 列表 、 有 序列 表 、 单 选 选 项 、 字 符 串 和 多 字符 串 。 默 认 包含 

三 个 本 地 属性 ， 如 Access-Denied Assistance Message、Folder Owner Email 和 Folder Usage。 

令 ”分 类 规则 : 可 基于 已 配置 的 分 类 属性 创建 分 类 规则 。 需 要 为 分 类 规则 提供 以 下 设置 ; 

4 常规 ; 输入 规则 名 ， 选 择 是 否 应 该 局 用 规则 。 

4 范围 ， 它 包括 特定 类 型 的 数据 ， 如 应 用 程序 文件 、 备 份 和 归档 文件 、 组 文件 和 用 户 文件 。 还 可 在 范围 
中 包含 特定 文件 夹 。 

* 分 类 ; 可 以 选择 分 类 方法 ， 如 内 容 分 类 器 、 文 件 夹 分 类 器 或 用 Windows PowerShell 脚本 创建 的 分 类 器 。 
此 外 ， 应 该 配置 分 配给 文件 的 属性 和 分 类 方法 所 需 的 任何 额外 参数 。 

4 评价 类 型 ， 配置 是 否 重 新 评价 现 有 的 分 类 属性 ， 因 为 默认 情况 下 ， 如 果 它 们 过 去 已 设置 ， 就 忽略 它们 。 


6.5.4 文件 管理 任务 


文件 管理 任务 对 满足 文件 分 类 要 求 的 文件 执行 特定 操作 。 管 理 任务 是 自动 完成 的 ， 并 根据 计划 执行 多 个 处 理 操作 。 
在 FSRM 控制 台中 导航 到 File Management Tasks， 并 选择 Create File Management Task Action， 就 可 以 创建 它们 。 
要 创建 文件 常理 任务 ， 需 要 配置 以 下 选项 : 
成 功 : 在 这 里 输入 任务 名 称 ， 并 选择 是 否 局 用 任务 。 
范围 : 与 分 类 管理 一 样 ， 范 围 将 包括 特定 类 型 的 数据 ， 如 应 用 程序 文件 、 备 份 和 归档 文件 、 组 文件 和 用 户 文 件 ， 
以 及 特定 文件 夹 。 
操作 : 要 执行 的 操作 类 型 包括 : 
* 文件 过 期 : 将 过 期 目录 配置 为 文件 要 移动 到 的 位 置 。 在 移动 过 期 文件 后 ， 管 理 员 可 能 会 备份 文件 ， 并 从 
过 期 目录 中 删除 它们 。 为 避免 创建 迁 代 循环 ， 过 期 目录 不 应 该 在 管理 任务 的 范围 内 。 
* 自 定 义 ， 运 行 可 执行 命令 ， 并 选择 在 Local Service、Network Service 或 Local System 账户 运行 命令 。 
* 权利 管理 服务 (RMS) 加 密 : 选择 RMS 模板 或 手动 配置 ， 使 用 户 具 有 读 取 、 更 改 或 完全 控制 权限 。 第 8 
草包 含有 关 Active Directory 权限 党 理 服务 (AD RMS) 的 更 多 信息 。 
通知 : 在 这 个 选项 卡 中 ， 可 为 在 文件 上 执行 的 操作 创建 一 个 通知 通道 。 可 选择 以 下 类 型 的 通知 : 
电子 邮件 : 如 果 选 择 电子 邮件 作为 通知 通道 ， 应 该 指定 管理 员 发 送 电子 邮件 的 电子 邮件 地 址 。 此 外 ， 应 该 为 受 
影 啊 的 文件 的 用 户 指定 电子 邮件 主题 和 正文 。 例 如 ， 电 子 邮件 消 刀 可 能 包含 邮件 到 期 前 的 天 数 ， 消 息 正 文 应 该 有 更 
多 的 细节 来 解释 即将 到 来 的 操作 。 还 有 一 个 选项 ， 其 中 邮件 附加 执行 操作 的 文件 列表 。 
事件 日 志 : 如 果 选 择 此 选项 ， 束 癌 事件 日 志 写 入 一 条 警告 消息 。 可 以 使 用 目 己 的 文本 目 定义 消息 的 内 容 ， 并 应 
加 一 些 变量 ， 如 Admin Email 和 Days Before File Action。 在 变量 的 下 拉 列 表 中 可 以 找到 完整 的 变量 列表 。 
命令 : 可 以 选择 运行 一 个 命令 或 脚本 ,该 脚本 给 用 户 生 成 特定 的 通知 。 可 以 配置 命令 、 命 令 使 用 的 参数 和 命令 
安全 性 ( 即 该 命令 在 哪个 安全 账 尸 下 运行 : Local Service、Network Service 或 Local System)。 
报告 : 此 选项 卡 允许 在 日 志文 件 、 错 误 日 志文 件 和 审计 日 志文 件 中 记录 信息 。 还 可 生成 不 同 格式 的 报告 ， 包括 
DHTML、HTML、XML、CSV 和 文本 。 此 外 ， 报 告 可 发 送 到 选 定 管理 员 的 电子 邮件 地 址 。 
条 件 : 此 选项 卡 配 置 为 使 任务 按 顺 序 运行 需要 满足 的 条 件 。 配 置 设置 包括 : 
* 属性 条 件 : 可 以 选择 属性 条 件 、 操 作 符 (相等 、 不 相等 、 存 在 、 不 存在 ) 和 值 (是 / 否 )。 
* 文件 创建 、 最 后 一 次 修改 和 最 后 一 次 访问 后 的 天 数 。 该 任务 将 仅 应 用 于 未 在 指定 的 天 数 内 创建 、 修 改 或 
访问 的 文件 。 
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* 有 效 开 始 : 在 这 里 ， 可 以 设置 文件 管理 任务 的 开始 日 期 。 
计划 : 可 以 修改 文件 党 理 任务 的 默认 计划 ， 并 将 文件 管理 任务 配置 为 每 天 、 每 周 、 每 月 或 连续 运行 。 


6.5.5 ”配额 管理 


FSRM 中 的 配额 管理 是 控制 着 或 文件 夹 可 以 使 用 多 少 磁盘 空间 的 有 效 方法 .FSRM 在 配额 管理 中 提供 了 目 动 化 ， 
因此 不 必 答 试 手动 找 出 为 什么 菜 些 着 比 其 他 着 更 快速 地 填 满 , 或 者 为 什么 某 些 文件 服务 器 总 是 比 其 他 服务 器 缺少 宇 
朵 磁盘 空间 。 
在 FSRM 控制 台中 导航 到 Quota Management， 可 以 管理 FSRM 中 的 配额 。 配 额 管 理 的 配置 选项 包括 两 个 组 件 : 
令 ”配额 : 在 创建 配额 时 ， 应 该 输入 配额 路 径 。 接 下 来 ， 应 该 在 以 下 选项 中 选择 : 
* 在 路 径 上 创建 一 个 配额 。 
* 目 动 应 用 模板 ， 在 现 有 的 和 新 的 子 文 件 赤 中 创建 配额 。 

也 应 该 从 配额 模板 中 选择 派生 属性 ， 定 义 定 制 的 配额 属性 。 

令 ”配额 模板 : 默认 情况 下 ，FSRM 控制 台 包 含 多 个 配额 模板 。 可 选择 从 这 个 模板 中 创建 配额 ， 编 辑 现 有 的 模 
板 ， 或 创建 自己 的 目 定义 模板 。 配 额 模 板 包括 以 下 设置 : 


* 模板 名 称 。 

* 空间 限制 。 

* 便 配 额 : 用 户 不 允许 超过 限制 。 

* 软 配额 : 用 户 可 以 超过 限制 ， 但 管理 员 将 通知 超过 配额 限制 。 


* 通知 阀 值 ， 当 磁盘 空间 分 别 达 到 85%、95% 和 1009% 的 容量 时 ， 三 个 默认 通知 阔 值 会 发 送 警 告 。 可 以 编 
辑 这 些 半 值 ， 或 添加 更 多 目 定 义 的 国 值 。 如 果 超 过 限额 ， 还 可 以 配置 不 同 的 通知 通道 ， 如 电子 邮件 、 
事件 日 志 、 命 令 或 报告 。 


6.5.6 ”用 于 监视 磁盘 使 用 情况 的 模板 


因为 组 织 中 有 多 个 文件 服务 器 , 如 果 有 一 个 工具 , 可 以 定期 生成 关于 组 织 中 文件 服务 器 的 存储 使 用 情况 的 报告 ， 
那 将 非常 方便 。FSRM 控制 全 人 允许 管理 员 创 建 人 存储 报告 任务 ， 来 管理 存储 报告 。 存 储 报告 可 以 安排 在 特定 的 日 期 运 
行 ， 如 果 立 即 需 要 报告 ， 可 以 手动 运行 它 。 

在 创建 存储 报告 任务 时 ， 可 以 在 四 个 不 同 的 选项 卡 中 配置 以 下 属性 : 

设置 (Settings): 在 此 选项 卡 中 ， 应 该 输入 报告 名 称 ， 选 择 要 生成 的 预定 义 报 告 类 型 。 有 10 个 预定 义 的 报告 ， 
包括 重复 文件 、 文 件 策 选 审 计 、 配 额 使 用 情况 等 。 可 编辑 每 个 预定 义 的 报告 ， 以 满足 组 织 的 业务 需求 。 例 如 ， 可 以 
编辑 重复 文件 报告 ， 为 每 个 报告 配置 重复 组 中 的 最 大 文件 数量 。 报 告 可 采用 不 同文 件 格式 生成 ， 例 如 DHTML、 
HTML、XML、CSV 和 文本 。 

范围 (Scope): 可 以 选择 应 该 包含 在 报告 中 的 数据 类 型 ， 例 如 应 用 程序 文件 、 备 份 和 归档 文件 、 组 文件 和 用 户 
wi 

交付 (Delivery): 可 以 将 报告 发 送 到 管理 员 的 电子 邮件 地 址 。 默 认 情 况 下 ， 报 表 保 存在 Ci\StorageReports\Scheduled 中 。 

计划 (Schedule): 可 以 安排 报告 何 时 运行 ， 并 限制 时 间 。 如 果 和 希望 在 计划 之 外 运行 报告 ， 请 在 FSRM 控制 台 的 
Details 窗 格 中 选择 报告 ， 然 后 单 击 Actions 窗 格 中 的 Run Report Task Now。 


6.5.7 ”文件 筛 查 管 理 


员工 通 沼 会 将 他 们 最 喜欢 的 个 人 文档 、 音 频 和 视频 文件 保存 在 公司 的 文件 服务 器 上 。 这 个 习惯 会 导致 磁盘 驱动 
器 很 快 就 被 填 满 ， 没 有 为 公司 文档 留 下 空间 。 文 件 筛 查 管理 为 管理 员 提供 了 必要 的 工具 ， 以 阻止 用 户 在 文件 服务 器 
疮 或 文件 夹层 识 结 构 中 保存 特定 的 文件 类 型 。 要 配置 文件 站 得 ， 应 该 在 FSRM 控制 台中 导航 到 File Screening 
Management. 

文件 得 查 常 理 有 三 个 组 件 : 文件 病 得 、 文 件 冰 得 模板 和 文件 组 。 下 面 了 解 这 些 组 件 ， 看 看 它们 是 如 何 使 用 的 。 

文件 筑 查 : 这 个 组 件 允 许 创 建文 件 科 得 和 文件 关 查 异常 。 在 创建 文件 科 得 时 ， 应 该 提供 文件 得 得 路 径 、 使 用 模 
板 的 文件 币 查 属性 或 目 定义 文件 得 得 属 性 。 可 用 的 模板 包括 : 阻止 音频 和 视频 文件 ， 阻 止 可 执行 文件 ， 阻 止 图 像 文 
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件 ， 阻 止 电子 邮件 文件 ， 监 控 可 执行 文件 和 系统 文件 。 

文件 筛 查 模板 : 可 以 使 用 下 列 设置 创建 或 编辑 文件 关 查 模板 : 

在 主动 得 得 (不 允许 用 户 保存 未 经 授权 的 文件 ): 和 被 动 得 得 (允许 用 户 保存 未 经 授权 的 文件 ， 但 要 监视 该 文件 ) 之 
上 间 选 择 。 

在 不 同 的 预定 义 文件 组 之 间 选 择 ， 例 如 音频 和 视频 文件 、 可 执行 文件 、 电 子 邮 件 文件 和 其 他 文件 。 

可 以 指定 通知 通道 ， 例 如 电子 邮件 、 事 件 日 志 、 命 令 和 报告 。 可 将 电子 邮件 配置 为 发 送 给 管理 员 以 及 受 文 件 科 
碍 任务 影 啊 的 用 户 。 可 以 用 目 己 的 文本 和 预定 义 的 变量 来 定制 电子 邮件 内 容 。 存 储 报告 的 预定 义 位 置 是 
Ci:\StorageReports\Incident。 

文件 组 : 此 组 件 显 示 预 定义 的 文件 类 型 。 例 如 ， 音 频 和 视频 文件 组 包含 扩展 名 aac、.aif .mp3 等 文件 。 可 以 添 
加 更 多 类 型 的 文件 扩展 名 来 编辑 文件 组 。 此 外 ， 可 创建 具有 上 自 定 义 文件 或 文件 扩展 名 的 新 文件 组 。 新 文件 组 可 能 包 
含 要 包含 的 文件 以 及 要 排除 的 文件 。 


6.6 ”工作 文件 夹 


工作 文件 夹 是 一 种 支持 BYOD( 目 带 设备 ) 的 技术 ， 人 们 可 以 安全 地 在 公司 环境 中 工作 ， 同 时 使 用 目 己 的 电脑 和 
设备 ， 而 不 损害 公司 安全 。 工 作文 件 夹 允 许 用 户 从 任何 设备 和 位 置 连接 到 文件 服务 器 ， 并 安全 地 处理 公 司 文档 。 访 
技术 在 Windows Server 2012 R2 中 引入 ， 在 Windows Server 2016 中 得 到 改进 。 

部 前 工作 文件 夹 的 一 些 主 要 优点 包括 : 

令 ”安全 地 从 任何 设备 和 任何 位 置 访问 公司 网 络 中 位 于 文件 服务 器 的 公司 文件 。 

令 ”文件 可 以 在 线 和 离线 访问 。 一 旦 设备 建立 了 本 地 网 络 或 Internet 连接 ， 所 有 离线 的 文档 更 改 都 会 同步 。 

令  ” 文 持 当前 文件 服务 技术 ， 如 FSRM、 离 线 文 件 、 文 件 夹 重 定向 和 主 文件 夹 。 

在 部 署 工作 文件 夹 之 前 ， 应 该 首先 准备 好 基础 设施 。 工 作文 件 夹 部 罩 所 需 的 组 件 和 需求 包括 : 

令 ”承载 工作 文件 夹 的 服务 器 必须 用 NTFS 文件 系统 格式 化 磁盘 。 

令 ”工作 文件 夹 需 要 证 书 , 因为 客户 端 和 服务 器 之 间 的 通信 是 加 密 的 。 证 书 可 以 从 内 部 CA 服务 器 发 出 ; 但 是 ， 

建议 从 一 个 公众 信任 的 CA 购买 证 书 。 

售 ”建议 Active Directory 域 服 务 运 行 在 Windows Server 2012 R2 森林 和 域 功 能 级 别 。 可 以 选择 使 用 Windows 
Server 2012 R2 模式 更 新 来 更 新 Active Directory 模式 。 这 个 更 新 允许 在 Active Directory 中 的 每 个 用 户 对 象 
上 配置 msDS-SyncServerURL 属性 ， 以 便 用 户 被 目 动 定 问 到 适当 的 同步 服务 器 。 

令 ”如 果 用 户 需 要 从 互联 网 访问 工作 文件 夹 , 网 络 团队 就 需要 配置 反问 代理 服务 器 或 防火 墙 ， 以 允许 从 互联 网 
访问 部 羞 工作 文件 夹 的 服务 器 。 此 外 ， 需 要 创建 一 个 A (Hosb DNS 记录 ， 该 记录 将 工作 文件 严 服 务 器 的 
Internet 名 称 解析 为 公共 IP 地 址 。 

令 ”如 果 打 算 给 工作 文件 夹 使 用 ADFS 和 刁 份 验证 ， 就 可 以 在 组 织 中 部 署 Active Directory Federation Services 
(ADFS)。 为 在 连接 Internet 时 同步 工作 文件 光 ， 可 使 用 反 加 代理， 包括 Web Application Proxy 或 Azure 
Application AD Proxy。Web Application Proxy 充当 反问 代理 ， 它 包含 在 Windows Server 2016 中 ，ADFS 对 
连接 Internet 的 用 户 进行 预 届 份 验证 。 参 见 第 11 章 中 关于 ADFS 和 Azure AD 应 用 程序 代理 的 更 多 信息 。 
关于 如 何 使 用 ADFS 配置 工作 文件 夹 的 详细 信息 ， 可 以 在 以 下 链接 中 找到 : https://docs.microsoft.com/en-us/ 
Windows-server/storage/Wwork-folders/deploy-work-folders-adfs-overview。 

令 可 在 服务 器 上 部 普 工 作文 件 来， 使 其 作为 Microsoft Azure 中 的 虚拟 机 运行 。 

在 部 普 工 作文 件 夹 时， 可 以 选择 三 种 主要 拓扑 : 

单 站 点 部 署 : 在 这 种 拓扑 中 ， 工 作文 件 夹 部 四 在 总 部 数据 中 心 的 文件 服务 器 上 , 分 文 机 构 不 在 总 部 数据 中 

心 上 驻 留任 何 工作 文件 夹 服 务 器 。 单 站 点 部 并 假定 , 组织 在 总 部 数据 中 心 和 分 文 机 构 之 间 具 有 快速 可 靠 的 广 域 
网 连接 。 

多 站 点 部 署 : 在 这 种 拓扑 结构 中 ， 部 罩 了 工作 文件 来 的 文件 服务 器 在 总 部 数据 中 心 和 分 支 机 构 中 以 多 次 方式 驻 
留 。 这 个 场景 假设 ， 组 织 需 要 优化 没有 融 速 连接 的 WAN 链 。 

托管 部 署 : 此 拓扑 使 用 Work Folders 文件 服务 器 ， 它 们 是 位 于 云 解决 方案 (如 Microsoft Azure) 中 的 虚拟 机 。 访 
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场景 假设 具有 高 可 用 性 和 快速 的 Internet 链接 。 
一 旦 确定 了 工作 文件 夹 的 拓扑 设计 ， 完 成 了 基础 设施 的 准备 工作 ， 就 可 以 继续 在 组 织 中 部 普 工 作文 件 夹 。 可 以 使 
用 Server Manager 在 文件 服务 器 上 部 署 工作 文件 光 ， 如 图 6.19 所 示 ， 或 者 使 用 Windows PowerShell， 运 行 以 下 命令 : 
Add—WindowsFeature FS-SyncSshareService 


Roles Deseripticn 


|_| Device Health Attestation a Work Folders provides a Way to use 
| | DHCP Server work files from a variety of 
L] DNS Server computers, including work and 


[DD Fax Server personal devices, You can use Work 
4 [m] File and Storage Services (2 of 12 installed) Folders to host user files and keep 
r 口 File and iSCSI Services (1 of 11 installed) them synchronmzed - whether users 
避 File Server (Installed) access their files from inside the 
[] BranchCache for Netweork Files metwork or trom across the Intemet, 
LL] Data Deduplication 
L | DFS Namespaces 
| | DFS Replication 
[L File Server Resource Manager 
| File Server VSS Agent Service 
L | isC5| Target Server 
[| iSCSI Target Storage Provider (VDS and VS: 
L| Server for NFS 
Werk Folders 
| Storage Services (Installed) 
|_| Host Guardian Service 


6.19 在 Server Manager 中 安装 工作 文件 夹 


工作 文件 来 使 用 HTTPS 协议 在 客户 机 和 工作 文件 淆 服务 器 之 间 通 信 。 因 此 ， 需 要 获得 在 工作 文件 严 服 务 器 上 
导入 的 证 书 。 根 据 部 署 的 工作 文件 严 服 务 器 的 数量 , 可 以 在 单个 证 书 (如 果 部 普 了 一 人 台 服 务 器 ) 和 SAN 或 通配符 证 书 
(如 果 部 看 了 多 台 服 务 器 ) 之 间 选 择 。 可 信 的 公共 CA 发 出 的 证 书 将 确保 所 有 设备 都 信任 证 书 ， 从 而 避免 潜在 的 通信 
问题 。 

连接 Intemet 时 ， 客 户 机 将 使 用 URL 格式 约定 一 一 例如 : 

https://workfolderserver.contoso.com 

因此 ,应 该 在 一 个 mtemet 可 访问 的 DNS 区 域 中 创建 A (Host) 记 录 , 该 区 域 将 主机 名 workfolderserver.conotos.com 
解析 为 公共 IP 地 址 ， 分 配给 工作 文件 夹 服 务 器 。 如 果 要 部 站 多 个 服务 器 ， 了 束 可 以 选择 创建 多 个 A 记录 ， 该 记录 会 解 
析 为 多 个 了 P 地 址 (DNS 轮 询 )， 或 选择 创建 一 个 A 记录 ， 该 记录 解析 为 一 个 PP 地 址 ， 分 配给 网 络 负 载 平 衡 解决 方案 。 

每 个 组 织 部 有 目 己 的 业务 场景 来 定义 访问 共享 文件 夹 的 权限 。 因 此 ， 工 作文 件 严 也 会 使 用 权限 ， 为 用 户 提供 对 
数据 的 安全 访问 。 在 设计 过 程 中 ， 应 该 定义 安全 组 以 及 对 不 同 工 作 文件 夹 的 访问 级 别 。 安 全 组 在 Active Directory 
Users and Compnuters 控制 全 或 Windows PowerShell 中 创建 。 每 个 同步 共享 需要 一 个 安全 组 。 

创建 了 安全 组 和 配置 组 成 员 关 系 之 后 ， 下 一 步 是 为 用 户 数 据 创建 同步 共享 。 如 果 使 用 Server Manager， 应 该 导 
航 到 文件 和 存储 服务 ,然后 导航 到 工作 文件 夹 .从 Tasks 有 菜单 中 选择 New Sync Share, 然后 按照 New Sync Share Wizard 
的 指示 进行 ， 如 图 6.20 所 示 。 


让 New Syme Share Wizard 


Before you begin 


Betore you can create syme share, you must allocate storage for user files on & volume 
formatted vath NTFS, You can also optionally create secunty groups to conirel whoe tan Becess 
Work Folders, 


Fer additional details or to enable Users to connect across the Intemet, see the Work Folders 
deployment content on the Windows Server Technical Library ste. 


Te continue, click Mext: 


| Den't shew this page again 


< Previous | Create Cancel 
图 6.20 在 Server Manager 中 使 用 New Sync Share Wizard 创建 新 的 同步 共享 


第 6 章 文件 服务 | 163 


获得 以 下 选项 : 
令 ”选择 服务 器 和 路 径 : 在 这 个 步骤 中 ， 需 要 提供 文件 共享 或 本 地 路 径 。 
令 ”指定 用 户 文 件 炎 的 结构 ， 在 这 个 步 又 中 ， 需 要 选择 文件 夹 命名 格式 。 有 两 种 选择 : 
*。 用 户 别名 ; 这 种 格式 不 包含 域名 。 它 维护 了 与 仅 对 名 称 使 用 别名 的 现 有 用 户 文件 夹 的 兼容 性 。 
* 用 户 alias@domain: 这 种 格式 包含 域名 ， 消 除了 不 同 域 中 相同 的 用 户 别 名 之 间 的 矛盾 。 
令 ”只 同步 以 下 文件 夹 ; 如 果 只 想 分 侍 特 定 的 子 文 件 夹 ， 就 使 用 此 选项 。 
令 ”输入 同步 共享 名 称 : 在 这 个 步骤 中 ， 需 要 和 输入 同步 共享 的 名 称 和 一 个 可 选 的 摘 述 。 
令 ”给 组 授予 同步 访问 权限 : 这 里 应 该 添加 前 面 为 这 个 特定 的 同步 共享 创建 的 安全 组 。 默 认 情 况 下 ， 会 选择 
Disable Inherited Permissions 选项 ， 该 选项 将 授予 用 户 对 其 文件 的 独家 访问 权 。 
令 ”为 PC 指定 安全 策略 : 在 这 个 步骤 中 ， 可 选择 Encrypt Work Folders( 默 认 不 局 用 该 选项 )， 目 动 锁定 屏幕 ， 
并 需要 一 个 密码 (默认 局 用 该 选项 )。 
令 ”确认 ; 最 后 一 步 是 查看 设置 ， 并 选择 Create 按钮 。 
争 ” 址 看 结果 : 显示 创建 同步 分 享 的 进度 和 状态 。 如 果 成 功 ， 状 态 应 该 显示 Completed。 
注意 : 不 要 混 消 文件 共享 和 同步 共享 。 同 步 共 享 默认 不 能 通过 文件 共享 访问 来 获得 。 如 果 想 通过 文件 共享 访问 
获得 同步 共享 ， 应 该 使 用 本 章 开头 介绍 的 步骤 来 共享 文件 夹 。 
对 想 要 部 署 的 所 有 同步 共享 完成 问 导 后 ， 可 以 在 Server Manager 中 配置 其 他 设置 ， 方 法 导航 到 File and Storage 
Services/Servers， 然 后 布 击 Work Folder 服务 器 ， 和 选择 Work Folder 设置 。Work Folder 设置 中 可 用 的 选项 包括 : 
令 ”身份 验证 : 可 以 在 Windows 身份 验证 和 ADFS 之 间 选 择 。 如 果 选 择 ADFS， 还 应 该 提供 到 联合 服务 URL 


的 路 径 。 
令 ”支持 电子 邮件 : 可 以 提供 支持 团队 的 电子 邮件 地 址 ， 如 果 用 户 在 设备 上 选择 Tech Support 链接 ， 该 电子 邮 
件 地 址 束 会 提供 给 用 户 。 


令 ”暂停 组 可 以 配置 哪些 组 应 该 暂停 同步 其 工作 文件 夹 。 
部 普 了 多 个 同步 服务 器 的 组 织 可 以 选择 配置 自动 发 现 服务 器 。 这 个 过 程 需 要 更 新 Active Directory 中 的 一 个 用 户 
账户 属性 。 属 性 名 是 msDS-SyncServerURL， 它 是 一 个 具有 URL 格式 的 多 值 属性 。 
对 于 有 效 的 域 连接 的 客户 端 配置 ， 可 以 使 用 GPO(Group Policy Object)， 如 图 6.21 所 示 ， 导 航 到 以 下 路 径 : 
令 ”用户 配置 User Configuration\Policies\Administrative Templates\ Windows Components\ WorkFolders 。 
令 ”计算 机 配置 ，Computer Confieuratiom\Policies\Administrative Templates\Windows Components\ WorkFolders。 
BE Specify Work Folders seittings 


specify Work Folders settings 


Pe ret server for affected | 内 
a3 Wiell ms whethyer OF Mot users are lowed to o change 
set wp Work Polders a ormaln-joined 


nable this pel te 


er 
Falder settings whe nto Srl n=]o ned PE, 


The bh 0 rd te ie | ne 
Granizaton for ders diseovrery, Gr the #p 
the files erver tha i 7 ee i ce du ee 


0 “Force automatic setup” option specifies th ee Folders 
ouldbe | aiko matic callhy withe ey Grpting urers: Thiz 
a nts users Frorm choosing rot to rk Folder 
cormputer: | citalbo ee ents om manualhy sp ecifyin the 
es n vehi ho 让 Faldars store ss ,By defa ult, Wo 本 
a ed i n the -6USERPROFILEXGAWa Folders" folder, | 
I rs must use the Work Falders 
cormnputers to set Up Vork Folder 


图 6.21 配置 GPO 
如 果 升 级 了 组 织 的 基础 架构 ，Windows 10 和 Windows Server 2016 中 工作 文件 夹 的 改进 功能 包括 : 
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更 快速 的 更 改 复制 。 在 Windows Server 2016 的 工作 文件 夹 中 ， 文 档 的 任何 编辑 都 会 立即 同 所 有 与 这 些 工 
作文 件 夹 同步 的 设备 发 出 通知 。 在 早期 版 本 中 ， 这 些 设备 可 能 要 等 待 10 分 钟 才 能 得 到 更 改 通 知 。 

企业 数据 保护 (EDP) 策 略 集成 。 如 果 部 署 了 EDP， 工 作文 件 夹 将 加 密 PC 上 的 数据 。 

Microsoft Office 集成 。 在 Microsoft Office 应 用 程序 最 近 打 开 或 保存 的 文件 中 ， 工 作文 件 夹 可 以 添加 到 位 
置 列表 中 。 


本 章 要 操 


始终 从 组 织 的 业务 需求 出 发 。 本 重 介 绍 了 许多 不 同 的 文件 和 仓储 服务 技术 。 并 不 是 所 有 的 文件 服务 都 适用 于 每 
个 组 织 ， 也 不 是 所 有 文件 服务 都 应 该 部 晋 在 同一 个 组 织 中 。 一 旦 确定 需要 哪 种 服务 ， 请 仔细 得 看 部 普 指 南 ， 了 解 可 
能 不 支持 的 场景 ， 比 如 在 Exchange Server 上 部 署 数据 去 重 。 

一 旦 浏览 了 部 普 指 南 ， 尽 最 大 努力 佑 计 解 决 方案 的 系统 性 能 。 有 时 ， 在 测试 环境 中 表现 恨 好 的 部 署 ， 在 生产 环 
境 中 无 法 提供 合理 的 性 能 。 

对 于 每 个 解决 方案 ， 检 查 高 可 用 性 建议 。 就 可 伸缩 性 和 性 能 而 言 ， 即 使 是 设计 最 好 的 服务 ， 有 时 也 会 遇 到 停机 
问题 ， 无 论 它 是 计划 的 (因为 安装 了 更 新 而 重新 月 动 ) 还 是 计划 外 的 ( 某 些 硬 件 或 软件 组 件 出 现 故 障 )。 在 这 些 场景 中 ， 
高 可 用 性 将 为 用 户 提供 对 服务 和 数据 的 持续 访问 。 


问题 “为 组 织 设 计 文 件 和 存储 服务 解决 方案 时 ,主要 目标 是 什么 ? 设计 过 程 采 用 的 方法 是 什么 ? 对 于 解决 
方案 支持 、 可 伸缩 性 和 高 可 用 性 ， 有 长 期 计划 吗 ? 

演 案 ”文件 服务 器 设计 包括 以 下 组 件 : 

* 用 户 数量 : 因为 应 该 佑 计 文 件 服务 的 合理 性 能 。 

* 高 可 用 性 : 因为 需要 为 文件 服务 和 组 织 文 档 提供 连续 访问 。 

* 服务 器 位 置 : 因为 需要 优化 数据 中 心 和 分 支 机 构 之 间 的 WAN 链 路 。 

* 灾难 恢复 : 因为 需要 一 个 恢复 计划 ， 如 果 发 生 任 何 意 外 的 服务 右 停 机 时 间 ， 该 计划 会 让 服务 器 和 数据 尽 
快 重新 上 线 。 

* 安全 : 因为 IT 团队 负责 确保 ， 不 会 未 经 授权 就 访问 数据 ， 数 据 不 受 任何 内 部 或 外 部 的 攻击 。 


使 用 BranchCache 保存 网 络 市 宽 。 用 户 经 常 听 到 这 样 的 语句 :“ 我 们 有 快速 WAN 链 路 。” 然 而 ，WAN 链 路 并 
非 仅 用 于 分 支 机 构 之 间 的 文件 共 圣 。 想 想 组 织 中 所 有 使 用 WAN 带宽 的 应 用 程序 ， 例 如 Active Directory 复制 、 
Exchange Server、SharePoint、Skype for Business 等 。 由 于 WAN 市 宽 的 使 用 非 第 广泛 ， 为 什么 不 尝试 优化 网 络 融 宽 ， 
以 提供 更 高 效 、 更 好 的 网 络 和 应 用 程序 啊 应 呢 ? 


问题 : 需要 为 组 织 设计 一 个 BranchCache 解决 方案 。 在 为 组 织 选择 最 合适 的 拓扑 时 ， 应 考虑 哪些 参数 ? 
答案 : BranchCache 技术 可 以 提供 不 同类 型 的 可 缓存 数据 : 

* 文件 服务 器 的 内 容 数 据 位 于 运行 File Services 服务 器 角色 和 BranchCache for Network Files 角色 的 服务 器 上 。 
* Web 服务 器 的 内 容 数据 位 于 运行 的 Web 服务 器 角色 和 BranchCache for Network Files 角色 的 服务 器 上 。 
* 应 用 服务 器 的 内 容 数 据 位 于 运行 WSUS 服务 器 等 应 用 程序 和 BranchCache for Network Files 角色 的 服务 
器 上 。 

分 文 绥 存 可 配置 为 在 以 下 模式 工作 : 

* 当 内 容 都 存储 在 客户 机 上 时 ，BranchCache 工作 在 分 布 式 缓存 模式 下 。 

4 当 内 容 存 储 在 分 支 机 构 的 服务 器 上 时 。BranchCache 工作 在 托管 缓存 模式 下 。 


使 用 FSRM 让 自动 化 过 程 起 作用 。 即 使 阅读 了 本 章 的 FSRM 部 分 ， 用 户 可 能 仍然 想 知道 组 织 是 否 需 要 它 。 当 
然 ， 组 织 肯 定 需 要 它 ! 无 论 只 有 两 个 文件 服务 器 ,还 是 有 一 个 服务 器 集群 分 布 在 世界 各 地 ， 目 动 化 过 程 都 会 起 作用 。 
它们 会 提供 存储 报告 、 对 数据 进行 分 类 、 沛 盘 企 业 环境 不 需要 的 文件 以 及 保护 关键 信息 。 


问题 需要 评估 组 织 的 FSRM 组 件 。 如 何 引 入 FSRM 组 件 来 自动 执行 文件 服务 器 管理 过 程 ? 

党 案 ”从 FSRM 解决 的 一 个 业务 场景 开始 。 在 隔离 的 测试 环境 中 符 试 FSRM。 然 后 将 其 部 垩 到 生产 环境 中 ， 
并 监视 其 工作 过 程 。 如 果 需 要 ， 可 以 定制 它 。 完 成 业务 场景 后 ， 检 查 组 织 需要 的 任何 其 他 业务 场景 。 不 要 
同时 部 罩 多 个 组 件 。 如 果 一 次 部 署 一 个 组 件 ， 那 么 排除 潜在 问题 就 会 容易 得 多 。 


第 草 


Windows Server 容 疝 


容器 是 Windows Server 2016 引入 的 一 种 新 的 虚拟 化 形式 。 它 们 不 是 虚拟 机 和 Hyper-V 的 蔡 代 品 ， 但 可 以 作为 
补充 。 使 用 容器 的 关键 是 理解 正确 的 用 例 ， 因 此 只 在 适当 的 时 候 使 用 它们 。 对 于 服务 器 问 应 用 程序 ， 容 器 可 以 提供 
比 虚 拟 机 更 大 的 灵活 性 。 


本 草 内 容 : 

”识别 容 右 功能 
创建 容 右 映像 

配置 容 融 

评估 应 用 程序 是 否 适 合 容器 


7.1 容 如 概述 


容器 是 一 种 操作 系统 虚拟 化 ， 允 许 应 用 程序 在 隔离 的 环境 中 操作 。 从 应 用 程序 的 角度 看 ， 每 个 应 用 程序 都 是 安 
装 在 操作 系统 实例 中 的 唯一 应 用 程序 。 还 可 以 在 每 个 容器 中 以 不 同方 式 配 置 操 作 系统 。 例 如 ，Intemet 信息 服务 (IIS) 
可 安装 在 一 个 容器 中 ， 但 不 能 安装 在 另 一 个 容器 中 。 然 而 ， 主 机 上 的 所 有 容器 共享 一 个 操作 系统 内 核 。 


内 核 版 本 
容器 的 一 个 关键 考虑 因素 是 ， 需 要 在 同一 级 别 上 为 容器 主机 和 容器 维护 操作 系统 内 核 。 这 是 必需 的 ， 因 为 它们 
共享 同一 个 内 核 。 


在 使 用 内 核 版 本 1709 部 署 运行 Windows Server 的 容器 主机 后 , 该 主机 上 的 容器 还 需要 使 用 内 核 版 本 1709 的 操 
作 系 统 映像 来 构建 。 这 意味 着 需要 创建 一 个 集成 的 更 新 过 程 ， 其 中 包括 容器 主机 ， 而 不 仅 是 容器 。 


使 用 容器 而 不 是 虚拟 机 的 驱动 力 之 一 是 它们 更 有 效 地 使 用 人 硬件。 因为 容 右 是 在 更 高 级 别 虚 拟 化 的 ， 所 以 在 给 定 
的 硬件 集 上 ， 可 以 拥有 比 虚 拟 机 更 多 的 容器 。 部 普 容 器 的 密度 比 虚拟 机 更 高 ， 需 要 购买 的 硬件 也 就 更 少 ， 从 而 降低 
经 营 成 本 。 表 7.1 列 出 了 使 用 容器 而 不 是 虚拟 机 的 一 些 具 体 好 处 。 


表 7.1 使 用 容器 胜 过 虚拟 机 的 好 处 
优 点 描 述 
更 高 效 的 内 “| 每 个 虚拟 机 都 有 一 个 完全 独立 的 操作 系统 需要 加 载 到 内 存 中 。 每 个 容器 都 有 自己 的 一 组 进程 在 内 存 中 运行 ， 
在 利用 率 但 是 由 于 使 用 的 是 单个 内 核 ， 所 以 容器 之 间 实 现 了 内 存 共享 。 因此， 进程 可 能 在 多 个 容器 中 独立 运行 ， 而 可 
执行 文件 只 加 载 到 内 存 中 一 次 
更 高 效 的 存 “| 容器 共享 相同 的 操作 系统 基础 映像 。 所 以 ， 所 有 容器 只 存储 内 核 操作 系统 文件 一 次 。 根 据 配 置 容 器 的 方式 ， 
傅 利用 束 其 他 文件 也 可 在 容器 之 间 共享 。 这 类 似 于 HyperV 中 虚拟 硬盘 的 基础 映像 和 差分 映像 。 大 多 数 虚拟 机 部 署 都 
有 每 个 虚拟 机 完全 独立 的 操作 系统 实例 
局 动 速 度 当 启 动 虚拟 机 时 ， 虚 拟 机 需要 加 载 所 有 操作 系统 组 件 ， 包 括 内 核 。 由 于 容器 与 主机 操作 系统 共享 内 核 ， 因 此 
更 快 容器 的 内 核 已 经 在 运行 ， 这 缩短 了 启动 时 间 。 某 些 情况 下 ， 容 器 可 在 不 到 一 秒 钟 的 时 间 内 启动 并 发 挥 作用 
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图 7.1 显示 了 容器 和 虚拟 机 的 体系 结构 的 区 别 。 对 于 虚拟 机 ， 虚 拟 机 监控 程序 在 硬件 上 运行 并 虚拟 化 对 硬件 的 
访问 。 对 于 容器 ， 容 器 引擎 在 主机 操作 系统 中 运行 ， 并 虚拟 化 对 操作 系统 内 核 的 访问 。 


虚拟 机 监控 程序 主机 操作 系统 


图 7.1 虚拟 机 和 容器 体系 结构 


7.1.1 容器 的 局 限 性 


需要 注意 ， 容 器 不 是 虚拟 机 的 直接 蔡 代 品 。 容 器 不 允许 访问 图 形 用 户 界 面 (GUD)。 微软 仅 为 Server Core 和 Nano 
Server 提供 容器 映像 。 因 此 ， 任 何 需 要 GUI 的 应 用 程序 都 不 适合 容器 。 例 如 ， 容 器 不 能 用 于 远程 果 面 会 话 主机 (RD 
会 话 主机 ) 或 虚拟 加 面 基础 设施 (VDDD。 

部 署 容器 时 ， 它 有 一 个 随机 生成 的 计算 机 名 称 ， 是 独立 的 服务 器 。 容 器 没有 设计 为 域 成 员 。 容 器 可 以 配置 为 对 
域 进行 身份 验证 以 访问 数据 ， 但 这 与 成 为 域 成 员 不 同 。 因 此 ， 容 器 不 适用 于 域 控制 器 、DNS 服务 器 或 DHCP 服务 
髓 。 此 外 ， 不 能 将 GPO 应 用 于 容器 。 

容 占 是 为 快速 和 灵活 的 部 四 而 设计 的 。 另 外 ， 配 置 需 要 上 自动 化 。 因 此， 它们 不 适用 于 需要 更 新 的 特定 硬件 或 驱 
动 程序 场景 。 例 如 ， 对 于 容器 来 说 ， 打 印 服务 器 不 是 很 好 的 工作 负载 。 

为 文 持 更 简单 的 部 署 和 更 新 ， 容 器 不 应 该 包含 应 用 程序 数据 。 例 如 ， 在 容器 中 运行 的 SQL 服务 器 不 应 该 包含 
数据 库 文件 。 相 反 ， 数 据 库 文 件 应 该 存储 在 容器 外 部 的 文件 共享 或 容器 主机 上 。 这 将 允许 在 不 丢失 数据 的 情况 下 部 
署 已 更 新 的 容器 。 


7.1.2 ”容器 的 术语 


在 Linux 中 使 用 容器 已 经 有 一 段 时 间 了 ， 但 只 能 在 Windows Server 2016 和 Windows 10 及 以 后 的 版 本 上 使 用 。 
辛 运 的 是 ， 当 处 理 Windows 容器 或 Linux 容器 的 文档 时 ， 使 用 了 相同 的 术语 。 表 7.2 列 出 了 常用 术语 。 


表 7.2 容器 术语 
术 请 朱 ” 述 
容器 主机 这 是 安装 了 容器 特性 的 操作 系统 ， 并 在 其 中 运行 容器 。 容 器 主机 可 以 是 物理 服务 器 或 虚拟 机 
这 是 一 个 或 多 个 包含 容器 数据 的 文件 。 容 器 映像 类 似 于 虚拟 机 中 的 虚拟 硬盘 驱动 器 。 在 容器 主机 上 部 署 
容器 映像 容器 时 ， 容 器 映像 将 复制 到 容器 主机 。 如 果 使 用 相同 的 容器 映像 创建 多 个 容器 ， 则 所 有 容器 在 主机 上 共 


享 一 个 容器 映像 副本 


每 个 容器 都 有 一 个 沙 箱 ， 其 中 包含 目 容器 局 动 以 来 发 生 的 文件 和 注册 表 更 改 。 当 容器 停止 时 ， 可 以 丢弃 
沙 箱 内 容 或 创建 包含 沙 箱 内 容 的 新 容器 映像 。 


沙 箱 
沙 箱 的 操作 方式 与 虚拟 机 快照 非常 类 似 。 天 弃 沙 箱 内 容 就 像 还 原 虚拟 机 快照 一 样 。 沙 箱 类 似 于 AVHD 文 
件 ， 在 获取 虚拟 机 快照 后 捕获 更 改 
这 是 用 于 创建 容器 映像 的 基本 操作 系统 映像 。 可 以 创建 自己 的 操作 系统 上 映像， 但 建议 下 载 Microsoft 给 
容器 操作 系统 映像 | 久光 
Server Core 和 Nano Server 提供 的 映像 
每 个 容器 主机 都 有 一 个 本 地 容器 存储 库 。 本 地 容器 存储 库 是 一 个 文件 系统 位 置 ， 存 储 容 器 主机 上 部 署 的 
容器 存储 库 
容器 映像 
层 对 容器 进行 更 改 ， 然 后 全 并 到 一 个 新 映像 中 ， 称 为 屋 。 例 如 ， 初 始 操作 系统 映像 是 第 一 层 ， 安 装 IS 将 


创建 第 二 层 。 在 部 着 容器 时 ， 选 择 一 个 包含 所 需 层 的 映像 。 不 需要 选择 多 个 层 并 将 它们 合并 在 一 起 
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( 续 表 ) 
术 请 搞 ” 述 
名 称 空间 隔离 容器 为 应 用 程序 提供 名 称 空间 隔离 。 名 称 空间 是 容器 中 的 本 地 文件 系统 和 注册 表 
微服 务 当 应 用 程序 划分 为 最 小 的 逻辑 部 分 时 ， 束 会 创建 微服 务 。 每 个 微服 务 都 部 着 在 自己 的 容器 中 ， 以 便 为 更 
新 和 可 伸缩 性 提供 最 佳 控制 


7.1.3 ”Hyper-V 容器 


Hyper-V 容器 结合 了 Hyper-V 虚拟 机 中 较 高 的 隔离 级 别 和 部 普 容 器 的 能 力 。 这 种 额外 的 隔离 级 别 在 需要 额 
外 安全 性 的 多 租户 环境 中 非常 有 用 。 为 了 允许 每 个 容器 在 自己 的 Hyper-V 环境 中 运行 , 每 个 HyperV 容器 都 运 
行 目 己 的 内 核 , 内 核 独 立 于 容器 主机 。 图 7.2 显示 了 Hyper-V 容器 的 体系 结构 与 标准 Windows 容器 的 体系 结构 
之 间 的 区 别 。 


7.2 HyperV 容器 和 Windows 容器 的 体系 结构 


运行 Hyper-V 容器 ， 会 失去 容器 通常 提供 的 一 些 效率 。 例 如 ， 让 每 个 容器 运行 自己 的 内 核 ， 会 增加 每 个 容器 所 
需 的 内 存 。 此 外 ， 每 个 容器 的 局 动 时 间 也 增加 了 ， 因 为 内 核 也 需要 局 动 。 但 是 ， 容 右上 映像 只 存储 一 次 ,仍然 可 以 保 

每 个 Hyper-V 容器 中 的 独立 内 核 提 供 了 额外 的 部 闭 灵 活性 。 当 使 用 Hyper-V 容器 时 ， 容 右 中 的 内 核 不 需要 匹配 
容器 主机 操作 系统 中 的 内 核 。 这 意味 着 可 以 独立 地 将 更 新 部 署 到 容器 和 主机 。 


Linux 容 疮 

许多 组 织 都 有 在 Windows Server 和 Linux 上 运行 的 服务 器 应 用 程序 .过 去 ,为 这 些 应 用 程序 运行 容器 需要 Linux 
和 Windows Server 容器 主机 。 这 需要 单独 的 过 程 来 管理 每 种 类 型 的 容器 主机 。 为 简化 管理 ， 可 在 Windows Server 
上 运行 Windows 和 Linux 容器 。 

从 Windows Server 2016 版 本 1709 开始 ，Hyper-V 容器 也 在 Windows 上 支持 Linux 容器 。 在 撰写 本 文 时 ， 这 个 
特性 还 处 于 预览 阶段 ， 没 有 完全 开发 出 来 。 有 关 Linux 容器 和 新 开发 的 更 多 信息 ， 请 参见 Linux 容器 ， 网 址 是 : 


https://docs.microsott.conmyen-us/virtualization/windowscontainers/deploy-containers /Linux-container 


7.2 ”创建 和 维护 容 虎 


Windows Server 2016 提供 了 承载 容器 的 操作 系统 功能 ， 但 它 不 包含 容 髓 的 管理 接口 。Docker 提供 了 用 于 创建 
和 管理 容器 的 容器 引擎 。Docker 既是 一 个 公司 ， 也 是 一 个 用 来 创建 和 管理 容器 的 软件 。 微 软 与 Docker 合作 ， 在 
Windows Server 2016 上 实现 容器 。 然 而 ，Docker 并 不 包含 在 Windows Server 2016 中 。 相 反 ， 需 要 在 容器 主机 下 载 
并 部 署 Docker。 

Windows Server 2016 上 的 Docker 使 用 的 命令 与 Linux 上 的 Docker 相同 。 熟 悉 Linux 上 Docker 的 人 在 Windows 
上 部 署 容 器 就 比较 简单 。 不 过 ， 这 两 种 操作 系统 的 功能 各 不 相同 。 例 如 ，Hyper-V 容器 在 Linux 上 不 可 用 。 
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7.2.1 硬件 和 软件 需求 


在 笠 试 实现 Windows 容器 之 前 ， 应 该 确保 容器 主机 满足 硬件 和 软件 需求 。 容 器 主机 可 以 是 物理 计算 机 或 虚 
拟 机 。 

如 果 计 划 使 用 Hyper-V 容器 ， 则 需要 安装 Hyper-V 服务 器 ， 并 满足 Hyper-V 的 要 求 。 如 果 在 虚拟 机 中 局 用 了 髓 
套 虚 拟人 化， 就 可 以 在 虚拟 机 中 运行 Hyper-V 容器 。 要 局 用 峰 套 虚拟 化 ，Windows Server 2016 容器 主机 中 的 处 理 器 需 
要 启用 Intel VT-x 扩展 。 

容器 主机 至 少 要 有 两 个 处 理 器 内 核 。 所 有 现代 物理 处 理 器 都 有 多 个 内 核 。 然 而 ， 许 多 虚拟 环境 默认 在 创建 新 虚 
拟 机 时 分 配 一 个 处 理 器 内 核 。 如 果 使 用 的 是 虚拟 容器 主机 ， 就 应 该 验证 已 经 分 配 了 两 个 或 多 个 虚拟 核心 。 

在 Windows Server 2016 中 ， 启 用 容器 特性 没有 特定 的 最 小 内 存 需 求 。 相 反 ， 需 要 根据 容器 主机 上 的 容器 所 
生成 的 预期 负载 分 配 内 存 。 需 要 考虑 操作 系统 和 应 用 程序 所 需 的 内 存 。 表 7.3 显示 了 容器 中 操作 系统 内 存 的 大 致 
利用 率 。 


表 7.3 容器 内 存 利用 率 


操作 系统 Windows 容器 Hyper-V 容器 


rr rm 

可 在 容器 主机 上 使 用 Windows Server 2016 标准 版 或 数据 中 心 版 。 这 两 个 版 本 都 可 以 使 用 完整 的 时 面体 验 和 
Server Core。Nano Server 刚 发 布 时 ， 可 用 来 承载 容器 ; 然而 ， 从 Windows Server 1709 版 开始 ，Nano Server 就 只 文 
持 在 容器 内 运行 ， 而 不 是 作为 容器 主机 。 为 了 最 小 化 所 使 用 的 资源 ， 应 该 使 用 Server Core。 


容 锅 的 ] 秆 可 
在 开始 部 署 容器 时 ， 需 要 考虑 现 有 的 Windows Server 许可 是 否 送 合 容 器 。 如 果 只 使 用 Windows 容器 ， 就 不 需 
要 任何 额外 的 许可 。Windows Server 2016 的 许可 证 允许 运行 无 限 数量 的 Windows 容器 。 
如 果 需 要 HyperV 容器 , 则 需要 确定 容器 主机 的 许可 证 是 标准 版 还 是 数据 中 心 版 。 与 Hyper-V 的 虚拟 化 许可 一 
样 ， 如 果 给 容器 主机 操作 系统 使 用 Windows Server 2016 标准 版 , 就 可 以 运行 两 个 Hyper-V 容器 。 如果 使 用 Windows 
Server 2016 数据 中 心 版 ， 就 将 获得 Hyper-V 容器 的 无 限 数量 许可 。 


7.2.2 安装 Docker 


要 在 Windows Server 2016 中 安装 Docker， 需 要 在 Windows PowerShell 中 使 用 包 管 理 功能 。 首 先 ， 下 载 一 个 提 
供 程序 , 然后 使 用 该 提供 程序 下 载 Docker 包 。 微软 和 Docker 都 有 用 于 此 目的 的 提供 程序 , 它们 都 可 以 在 PowerShell 
Gallery 中 找到 。 来 自 微软 的 提供 程序 是 DockerMsftProvider。 来 目 Docker 的 提供 程序 是 DockerProvider。 

要 下 载 提 供 程序 ， 请 使 用 以 下 Windows PowerShell 命令 : 

Install-Module DockerMsftProvider 

要 安装 Docker， 使 用 以 下 Windows PowerShell 命令 : 

Install-Package Docker -ProviderName DockerMsftProvider 

当 安 装 Docker 包 时 ， 如 果 还 没有 局 用 它 ， 服 务 器 上 的 容器 特性 将 目 动 安装 。 包 安装 程序 还 会 下 载 Docker 
Enterprise Edition Basic 的 当前 版 本 ， 并 将 其 安装 为 服务 。 安 装 之 后 ， 可 能 会 提示 重新 局 动 。 

要 更 新 Docker 已 经 运行 的 实例 ， 请 使 用 以 下 Windows PowerShell 命令 : 


Install-Package Docker -ProviderName DockerMsftProvider -Update 


没有 Internet 连接 的 容器 主机 

大 多 数组 织 不 允许 其 服务 器 访问 Internet， 因 为 这 样 做 会 带 来 安全 风险 .缺乏 访问 权限 意味 着 需要 将 Docker 包 
手动 复制 到 容器 主机 。 要 下 载 Docker 包 ， 请 在 运行 Windows 10 的 计算 机 上 使 用 以 下 命令 ， 该 计算 机 具有 Internet 
访问 权限 ， 以 便 将 Docker 包 保 存 到 temp 文件 夹 中 : 
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Instal1-Module DockerMsftProvider 
Save—Package Docker -ProvideTrName DockerMsftProvider -Path C:\temp 


zip 文件 名 根据 包 的 版 本 而 变化 。 因 此 ， 在 保存 包 之 后 ， 需 要 验证 文件 名 。 
对 每 个 容器 主机 执行 以 下 步骤 : 

(1) 把 包 zip 文件 的 内 容 复制 到 C:\Program Files\Docker 中 。 

(2) 设置 环境 变量 。 


# Add path to this PowerShell session immediately 
senv:path += "; $env:ProgramFiles\Docker" 


# For persistent use after a reboot 

sexistingMachinePath = [Environment]::GetEnvironmentVariable ("Path", [System. 
EnvironmentVariableTarget|]::Machine) 
[Environment|]::SetEnvironmentVvariable("Path", SexistingMachinePath 十 
";Senv:ProgramFiles\Docker™", [EnvironmentVariableTarget]: :Machine) 


(3) 将 Docker 注册 为 Windows 服务 。 

dockerd --register-service 

(4) 启动 Docker 服务 。 

Start-Service Docker 

应 该 定期 检查 微软 更 新 的 安装 说 明 。 这 个 过 程 的 说 明 保 存在 如 下 网 址 中 : 


https://docs.microsoft.com/en—us/virtualization/windowscontainers/manage—docker/configqgure— 
docker-daemon 


7.2.3 ”在 Docker Hub 中 检索 容 怖 映像 


Docker Hub 是 Docker 为 容器 映像 存储 库 提供 的 云 服 务 。 为 简化 产品 的 部 署 ， 许 多 软件 供应 商都 维护 着 官方 容 
器 映像 。 微 软 提供 了 Server Core 和 Nano Server 的 容器 映像 。 不 需要 花 时 间 学 习 如 何 创建 操作 系统 容器 映像 。 相 
反 ， 可 以 下 载 由 Microsoft 构建 的 映像 并 定制 它 ， 以 满足 需求 。 当 新 的 操作 系统 更 新 发 布 时 ，Microsoft 就 会 更 新 
容器 映像 。 

还 可 在 Docker Hub 中 拥有 自己 的 公共 或 私有 存储 库 。 私 有 存储 库 可 用 作 多 个 数据 中 心 的 中 心 分 发 点 。 公 共存 
储 库 可 用 于 与 合作 伙伴 组 织 协作 。 还 可 以 配置 目 己 的 内 部 存储 库 来 管理 容器 映像 。 

可 以 在 Docker Hub 中 浏览 微软 提供 的 容器 映像 ， 网 址 是 https://hub.docker.comyr/microsoft/。 要 访问 Docker Hub 
并 浏览 映像 ， 需 要 创建 一 个 账户 并 登录 。 

第 软 官 官方 存储 库 中 提供 的 一 些 容器 映像 包括 : 
microsoft/windowservercore 


microsoft/nanoserver 


mlcrosoftils 


mlcrosoftdotnet 


HS. 


microsoft/powershell 
要 将 映像 从 Docker Hub 复制 到 本 地 容器 主机 , 请 使 用 命令 docker pull <imagename>，, 其 中 imagename 是 Docker 
Hub 中 列 出 的 容器 映像 名 称 。 图 7.3 显示 了 下 载 microsoft/servercore 映像 的 命令 。 


PS C:\Users\administrator.CONTOSO0> docker pull microsoft/windowsservercore 
Us sing default tag: latest 

latest: Pulling from microsoft/windowsservercore 

3889bb8d808b: Pull complete 


eadgfdead3c5: Pull complete 

Dgest: sha256:c2abdas37 "fet312f el47e259011025561f8alc4ee3 bcc2c62f688bs 28eas 7b28 
status: Dov mL newer image for microsoft/windowsservercore:lates 

ps Cr‘Users\admnistrator.CONTOSO 


图 7.3 从 Docker Hub 中 提取 映像 


注意 ， 图 7.3 中 的 pull 命令 显示 ， 已 经 下 载 了 两 个 层 。 每 个 层 由 12 位 标识 从 标识， 状态 为 Pull complete。 一 层 
是 Server Core 的 最 新 欠 代 ， 另 一 层 是 已 经 应 用 的 累计 更 新 。Docker Hub 提供 的 其 他 映像 可 以 有 更 多 的 层 ， 这 取决 
于 它们 是 如 何 创建 的 。 
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170 精通 Windows Server 2016( 第 6 版 ) 


从 Docker Hub 中 检索 图 像 时 , 只 下 载 所 需 的 层 。 例 如, microsoftiis 映像 基于 microsoft/windowsservercore 映像。 
如 果 已 经 检索 了 microsoft/windowsservercore 映像 文件 ， 就 只 会 下 载 额外 的 层 。 可 以 在 图 7.4 中 看 到 ，microsoft/ 
Windowsservercore 映像 中 两 个 层 的 状态 是 Already exists。 


BS CN\Users\administrator.CONTOSO» docker pull mcrosoft /1s 
Us1ng defau1 t tag: latest 
atest: Pulling from mcrosoft/n1s 
388 9bb8d808b: Already X15Sts 
3c5 3: 点 -eady X15Sts 
bl: pu11 complete 


bk: nsf edd: Pull complete 
Pull complete 
94e2c05 IfF9d1: Pull complete 
gest: shaz6:1242bf545abc4043c718aa232 e3ebe8 03 65u48a20Laaeeod9u' bli23 ccSels faa 
st: JS : Down loaded newer 1mage for microsoft/n1s:latest 


‘Users\admnistrator .CONTOSO» 
7.4 拉 取 第 二 个 映像 


7.2.4 创建 和 运行 容器 


获得 基本 映像 后 ， 就 可 以 创建 一 个 容 右 。 要 查看 已 拉 取 容 融 主机 的 映像 ， 可 使 用 如 图 7.5 所 示 的 docker images 
命令 。 注 意 ，CREATED 列 是 在 创建 映像 时 列 出 的 ， 而 不 是 从 存储 库 中 提取 它 时 列 出 的 。 


SEer admn1istrator.CONTOSO> do 
CREATED 
1 3 WeeEKS B96 


和 1 刁 二 | 
ef5 0195 3 WeekKs Bgo 


图 7.5 列 出 映像 


需要 考虑 以 一 种 与 虚拟 机 完全 不 同 的 方式 来 创建 和 运行 容器 。 当 局 动 虚拟 机 时 ， 它 仍 在 运行 并 等 竺 与 它 交 互 。 
在 创建 和 运行 容器 时 ， 需 要 指定 在 该 容器 中 运行 的 进程 。 这 个 进程 称 为 入 口 点 。 当 入 口 点 进程 停止 时 ， 容 器 退出 ， 
因为 任务 已 经 完成 。 

docker run 命令 用 于 创建 局 动容 占 。 其 语法 如 下 : 

Docker run [options|] image [command | 

命令 是 要 在 容器 中 局 动 的 可 执行 文件 的 名 称 。 例 如 ， 如 果 指 定 app.exe， 束 会 创建 容器 ， 并 在 其 中 运行 app.exe。 
当 app.exe 结束 时 ， 容 器 就 会 关闭 。 


llS 的 入 口 点 
在 容器 中 运行 的 许多 应 用 程序 都 是 基于 Web 的 。 对 于 某 些 Web 服务 器 (如 Apache)， 当 容器 开始 将 流程 指定 为 
容器 的 入 口 点 时 ,可 以 运行 Web 服 务 器 可 执行 文件 .但 是 ,如 果 使 用 IIS 作为 Web 服务 器 ,那么 万 维 网 发 布 服务 (World 


Wide Web Publishing Service) 已 经 启动 ， 并 不 是 特定 的 可 执行 文件 。 万 维 网 发 布 服务 由 svchostexe 启动 ， 其 他 一 些 
服务 也 是 如 此 。 

要 为 IIS 中 基于 Web 的 应 用 程序 解决 这 个 问题 ,需要 一 个 替代 入 口 点 。 幸 运 的 是 ,微软 创建 了 IIS ServiceMonitor 
GitHub 项 目 ， 该 项 目 位 于 https://github.com/IMicrosoft/IIS.ServiceMonitor。 可 使 用 ServiceMonitor 作为 容器 中 的 IIS 
入 口 点 。 遗 憾 的 是 ， 需 要 下 载 源 代码 并 自己 编译 它 。 

当 使 用 ServiceMonitor 作为 入 口 点 时 ， 它 监视 万 维 网 发 布 服务 ， 并 在 状态 不 再 是 “运行 ”时 退出 。 需 要 把 
ServiceMonitor.exe 复制 到 映像 中 ， 以 使 用 它 。 微 软 已 经 在 Docker Hub 上 的 IS、ASPNET 和 WCF 映像 中 包含 了 
ServiceMonitor.exe。 要 在 启动 容器 时 使 用 ServiceMonitor 作为 入 口 点 ， 请 使 用 以 下 语法 : 


docker run <image> C:\\ServiceMonitor.exe w3svc 


在 使 用 docker run 创建 容器 时 ， 可 使 用 许多 选项 来 配置 容器 。 使 用 docker rmn  --help 命令 可 查看 所 有 可 用 的 
选项 。 这 些 选 项 部 需要 在 选项 名 称 前 加 两 个 短 划 线 。 

一 个 常用 选项 是 --detach。 该 选项 允许 启动 容器， 并 允许 它 在 后 台独 立 运行 ， 而 不 依赖 于 用 来 局 动容 器 的 提示 
符 。 如 果 不 使 用 该 选项 ， 则 用 于 局 动容 器 的 提示 符 将 等 待 容器 停止 然后 才能 再 次 控制 它 。 当 不 需要 使 用 提示 符 直 
接 与 容器 交互 时 ， 可 以 使 用 该 选项 。 当 容器 被 分 离 时 ， 仍 然 可 以 通过 网 络 与 它 进 行 交 互 。 

男 一 个 常用 的 选项 是 --name。 该 选项 允许 为 容器 指定 一 个 名 称 ， 在 运行 Docker 命令 时 可 以 引用 该 名 称 。 通 向 
在 引用 容器 名 称 而 不 是 容器 ID 时 ， 更 容易 使 用 名 称 。 如 果 不 指定 名 称 ，Docker 会 目 动 创建 一 个 名 称 。 目 动 名 称 由 
两 个 随机 选择 的 单词 组 成 ， 用 下 划 线 隔 开 。 例 如 ， 目 动 生 成 的 名 称 可 以 是 optimistic_galileo。 
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通过 以 下 步骤 ， 可 使 用 命令 提示 符 检 查 容器 的 默认 配置 ， 如 图 7.6 所 示 : 

(1) 打开 Windows PowerShell 或 以 常理 员 身份 运行 命令 提示 人 符 。 

(2) 如 果 需 要 ， 使 用 Docker 下 载 microsoft/windowsservercore 容器 映像 。 

(3) 输入 docker run --interactive microsoft/windowsservercore cmd.exe 并 按 回 车 键 。 交 互 式 选 项 使 本 地 提示 符 连 


接 到 在 容器 中 运行 的 命令 提示 符 。 


(4) 在 命令 提示 和 全 下 ， 输 入 hostname 并 按 Enter 键 。 这 将 得 到 一 个 12 个 字符 长 的 随机 生成 的 名 称 。 
(5) 在 命令 提示 符 下 ， 输 入 ipconfig 并 按 Enter 键 。IP 地 址 在 安装 Docker 时 自动 创建 的 虚拟 网 络 上 。 
(6) 输入 exit 并 按 Enter 键 。 这 将 停止 容器 。 


PS Ci\Users\admnistrator.CONTOSOs> docker run -=--1nNnteractive mcrosoft/windowsservercore cmd. exe 
M1crosoft Windows [Version 10.0.14393] 
(tc) 2016 Microsoft Corporation. All rights reserved. 


Caos=hostname 
hostname 
ag097ble6ess 


FE 


-:\>1pconfig 
ipconfig 


Windows IP Configuration 


Ethernet adapter wvEthernet (Container NIC addbs ce6d): 


Connection=spec1ite DNS Suffix . : 


1 IBwv6 Address . 。 " fe80: dB:e0fa:ftbhbd4:51ba%22 
县 a " re.27.166,119 


图 7.6 检查 容器 的 默认 配置 
在 使 用 容器 时 ， 一 些 附 加 的 Docker 命令 可 能 很 有 用 。 它 们 列 于 表 7.4。 
表 7.4 附加 的 Docker 命令 


Docker 命令 描 述 
attach 将 当前 提示 符 附加 到 正在 运行 的 容器 上 
ps 列 出 了 所 有 正在 运行 的 容器 。 与 --all 一 起 使 用 时 ， 它 列 出 已 停止 和 正在 运行 的 容器 
create 用 于 在 不 运行 容器 的 情况 下 创建 容器 。 这 个 命令 的 选项 与 run 相同 
start 局 动 已 停止 的 容器 。 例 如 ， 在 创建 容器 之 后 ， 可 以 局 动 它 
stop 停止 正在 运行 的 容器 
pause 暂时 停止 容器 中 的 所 有 进程 
unpause 在 容器 中 重新 启动 暂停 的 进程 
EXEeC 在 运行 的 容器 中 运行 一 个 命令 
rm 在 容器 停止 后 移 除 它 。 这 就 释放 了 scratchpad 为 容器 使 用 的 磁盘 空间 


{2 


.5 “手动 目 定 义 映像 


要 使 用 容器 部 罩 应 用 程序 ， 需 要 定制 容器 。 无 论 何 时 ， 都 应 该 尝试 使 用 一 个 包含 所 需 组 件 的 正式 容器 。 例 如 ， 


不 使 用 microsoft/windowsservercore 并 添加 IIS， 而 是 下 载 包 含 两 者 的 microsoftiis 映像。 但 是 ， 仍 然 应 根据 应 用 程 
序 的 需要 定制 配置 。 


很 多 时 候 ， 需 要 在 定制 映像 时 为 应 用 程序 复制 其 他 文件 。 例 如 ， 基 于 Web 的 应 用 程序 可 能 包括 多 个 HTM 或 


ASP 文件 和 一 个 web.config 文件 。HTM 文件 是 静态 Web 页 面 。ASP 文件 是 具有 动态 内 容 的 网 页 ，web.config 文件 
有 网 站 配置 信息 。 


可 使 用 docker cp 命令 将 文件 从 容器 主机 复制 到 容器 ， 反 之 亦 然 。 使 用 以 下 语法 将 文件 复制 到 容器 : 
docker cp <src path> <container>:<dest path> 


还 可 以 使 用 命令 提示 符 或 Windows PowerShell 定制 映像 ,例如 , 要 局 用 其 他 特性 , 可 以 使 用 容器 内 部 的 dism.exe 


或 Enable- WindowsFeature。 


以 下 示例 提供 了 使 用 microsoft iis 映像 创建 简单 网 站 的 步 又 : 
(1) 以 党 理 员 身份 打开 Windows PowerShell 或 命令 提示 和 付 。 
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(2) 如 有 必要 ， 使 用 Docker 下 载 microsoft/iis 容器 映像 。 

(3) 在 容器 主机 上 创建 Cnewweb 文件 光 ， 以 便 将 文件 复制 到 容器 中 。 

(4) 输入 "<p>Simple Web Page</p>" | Out-File C:mewwebmmypage.htm， 按 Enter 键 。 

(5) 输入 docker rn --name newweb  --detach microsoftiis 并 按 回 车 键 。 这 将 局 动 一 个 新 的 容器 ， 以 供 目 
定义 。 容 器 分 离 后 ， 它 就 在 后 台 运 行 。 

(6) 输入 docker cp C:newweb\imypage.htm newweb:C:i\inetpubWwwwwroot\imypage.htm 并 按 Enter 键 。 
令 将 mypage.htm 文件 复制 到 容器 中 。 

(7) 输入 docker exec --interactive newweb powershell.exe 并 按 回 车 键 。 这 个 命令 在 新 Web 容器 中 创建 一 个 交互 式 
Windows PowerShell 提示 从 。 这 是 在 不 更 改 容器 入 口 点 的 情况 下 完成 的 。 注 意 ， 提 示 和 从 现在 使 用 C:\ 作 为 当前 文件 来。 

(8) 输入 dir Cinetpubvwwwroot 并 按 回 车 键 。 使 用 此 输出 验证 是 否 复制 文件 。 

(9) 输入 ipconfig 并 按 Enter 键 ， 查 看 容器 的 IP 地 址 。 请 注意 这 个 用 于 访问 Web 页 面 的 IP 地 址 。 

(10) 在 容器 主机 上 ， 打 开 Internet Explorer 并 浏览 到 http:/newwebIPaddress/ mypage.htm。 这 将 显示 已 创建 并 复 
制 到 容器 的 Web 页 面 。 

(11) 在 Windows PowerShell 提示 符 下 , 输入 exit 并 按 Enter 键 ,这 将 关闭 容器 中 的 Windows PowerShell 提示 符 ， 
但 容器 仍 在 运行 。 

(12) 输入 docker stop newweb 并 按 回 车 键 。 这 将 停止 容器 。 

(13) 输入 docker commit newweb webappimage 并 按 回 车 键 .这 将 合并 所 做 的 更 改 , 并 创建 一 个 名 为 webappimasge 
的 新 映像 。 所 做 的 配置 更 改 添加 为 依赖 microsoftiis 映像 的 新 层 。 

(14) 输入 docker images 并 按 回 车 键 。 这 将 显示 容器 主机 上 的 所 有 了 映像 ， 现 在 包括 webappimage。 

(15) 输入 docker history webappimage 并 按 回 车 键 。 这 将 显示 映像 中 的 所 有 层 ， 如 图 7.7 所 示 。 在 图 7.7 中 ， 仅 
根据 这 个 过 程 的 更 改 就 创建 了 最 新 的 层 。 下面 两 层 来 和 目 microsoft/windowsserver 映像 。 其 余 的 层 是 microsoft/iis 映像 
的 一 部 分 。 


这 个 全 


ITOS0=> docker history webappimage 
CREATED BY 


cmd /5 /C #(nop) 3 POINT ["C:\\Service,... 
md /Ss /jC #Cnop) POSE 80 


ek /5 ， A op ADD pL A bp 3ab62 a 1 a 。 
| nd Add-I i FEF. 


Ins 和 nh pdate 10 .0. 143 93 .18 | 
Apply 1mage 10.0.14393.0 


图 7.7 映像 中 的 所 有 层 


7.2.6 自动 创建 映像 


应 该 尽 可 能 目 动 执 行 容器 中 应 用 程序 的 部 署 过 程 。 这 对 于 简化 更 新 过 程 至 关 重 要 。 与 将 更 新 应 用 于 现 有 虚拟 机 
不 同 ， 当 操作 系统 更 新 时 ， 使 用 容器 创建 新 映像 。 例 如 ， 假 设 使 用 microsoftiis 映像 创建 对 Web 应 用 程序 映像 。 当 
发 布 Windows 累积 更 新 时 ，Docker Hub 会 更 新 microsoft/iis 上 映像， 但 不 能 将 更 新 后 的 microsoftiis 映像 应 用 于 现 有 
的 Web 应 用 程序 上 映像。 相反， 需要 使 用 新 的 microsoft/iis 映像 重新 构建 Web 应 用 程序 映像 。 

如 果 目 动 执行 映像 的 构建 过 程 ， 那 么 更 新 映像 以 包含 更 新 的 基本 操作 系统 所 涉及 的 工作 就 很 少 了 。 目 动 化 构建 
过 程 也 使 其 更 加 可 徘 。 可 以 使 用 dockerfile 和 docker build 命令 来 自动 完成 构建 过 程 。 

dockerfile 是 一 个 包含 命令 列表 的 文本 文件 。dockerfile 中 的 命令 可 执行 连接 到 容器 时 执行 的 任何 操作 。 例 如 ， 
dockerfile 可 复制 文件 并 配置 Windows 角色 和 特性 。dockerfile 中 的 一 些 常 用 命令 列 在 表 7.5 中 。 


表 7.5 dockerfile 命令 


dockerfile 命令 描述 
# # 在 任何 一 行 的 开头 ， 表 示 注 释 。 注 释 用 于 dockerfile 中 的 文档 和 描述 ， 不 更 改 映像 
FROM <image> 定义 初始 映像 ， 用 于 创建 新 映像 


RUN ["<executable>","<param1>" 
.<param2>"| 


运行 一 个 命令 ， 该 命令 创建 添加 到 新 映像 中 的 更 改 
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( 续 表 ) 
dockerfile 命令 摘 ] 术 
将 文件 从 容器 主机 复制 到 新 映像 。 源 路 径 相 对 于 dockerfile。 不 可 能 指定 绝对 路 径 。 因 此 ， 
COPY 最 好 将 dockerfile 和 所 有 必要 的 源 文 件 保 存在 一 个 单独 的 文件 夹 中 ， 如 有 必要 ， 可 以 使 用 
["<source>","<destination>"] 子 文件 夹 。 而 且 ， 路 径 中 的 所 有 和 斜 杠 都 必须 是 斜 杠 WV)， 而 不 是 反 匀 杠 ()。 反 和 斜 杠 通常 用 于 


Windows 中 的 路 径 。 如 果 路 径 中 没有 空格 ， 可 以 省 略 方 括号 、 引 号 和 逗号 

将 文件 从 容器 主机 或 URL 复制 到 新 映像 。 与 COPY 命令 类 似 ， 文 件 路 径 的 源 路 径 相 对 于 
ADD ["<souwrce >"."<destination>"] | dockerfile。 此 外 ， 路 径 和 URL 中 的 斜 杠 必 须 是 斜 本 。 如 果 路 径 中 没有 空格 ， 可 以 省 略 方 

括号 、 引 号 和 逗号 


CMD 此 命令 幅 入 一 个 命令 , 在 使 用 docker run 创建 容器 时 ， 可 能 使 用 该 命令 。 这 定义 了 入 口 点 。 
["<executable>","<param>"] 在 创建 容器 时 ， 在 docker run 命令 指定 命令 ， 来 覆盖 映像 中 指定 的 值 

ENTRYPOINT 这 个 命令 具有 与 CMD 相似 的 功能 ， 但 它 覆 盖 了 CMD 命令 。 这 有 助 于 防止 创建 容器 的 用 户 
["<executable>","<param>"] 重 写 映 像 中 的 默认 入 口 点 。 在 创建 容器 时 ， 使 用 --entry-point 选项 覆盖 映像 中 指定 的 入 口 点 


有 关 可 以 在 dockerfile 中 使 用 的 选项 的 详细 信息 ， 请 参阅 dockerfile 参考 资料 ， 网 址 是 : https://docs.docker. 
com/engine/reterence/builder/。 

要 使 用 dockerfile 创建 映像 ， 请 执行 以 下 步骤 : 

(1) 创建 一 个 文件 夹 , 在 其 中 存储 构建 过 程 中 使 用 的 文件 。 应 该 为 这 些 文件 夹 使 用 一 致 且 易于 遵循 的 命名 约定 ， 
以 便 参 与 构建 过 程 的 每 个 人 都 能 理解 它 。 例 如 ， 可 以 使 用 C:\builds\ webappimage2。 

(2) 将 必要 的 文件 复制 到 刚才 创建 的 文件 夹 中 。 复 制 到 映像 的 文件 应 EU 

(3) 使 用 构建 过 程 的 命令 创建 dockerfile。 这 个 文件 必须 命名 为 dockerfile， 且 没有 文件 扩展 名 。 图 7.8 显示 了 
dockerfile 的 一 个 示例 。 


| dockerfile - Notepad 


File Edt Format View Help 


#Creates image for our web app 
#Version 2 


#Define source image 
FROM microsoft/iis 


#Copy application files to default web site 
ADD mypage.htm C:\inetpub\wwwroot 


#Define Entrypoint 
ENTRYPOINT ["servicemonitor.exe”","w3svc"] 


图 7.8 dockerfile 示例 


(4) 运行 docker build 命令 ， 如 图 7.9 所 示 。--tag 选项 定义 了 映像 的 新 名 称 。 还 需要 为 dockerfile 指定 路 径 。 在 
中 7.9 中 ， 路 径 是 (句点 反 和 斜 杜 )， 它 表示 当前 目录 。 注 意 ， 为 dockerfile 中 的 每 个 命令 创建 了 一 个 新 层 。 


Ps C:“builds\webappimage2> docker build =-tag webappimage2 .\ 
sending i context to 2 daemon .D7 2kB 
step 1/3 : FROM mcrosoft/11s 
-—-—% A9659b02er 67 
= 2 = ADD Fm ypage. htm C:\ netpub\wwwroot 
| 
Remov ring a container cf3aecc84870 


Sstep 3/:3 : ER "TRYPOI NT sen vicemonitor. exe W3sVC 
-—--> Running 1n 8d163 
-» fbcas f809a 
Remov ing intermediate container Bdi16337ce74df 
successfully built S99fbcasf809a 
Successfully tagged webappimage2 :1atest 
ps EC:\builds\webanppinage?2> 


图 7.9 建立 映像 


在 dockerfile 中 使 用 Windows PowerShell 
Windows PowerShell 已 经 成 为 Windows Server 管理 和 配置 最 常用 的 脚本 语言 ,使 用 Windows PowerShell 可 以 配 
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置 Windows Server 的 几乎 所 有 方面 。 利 用 Windows PowerShell 中 的 技能 来 使 用 dockerfile 是 可 行 的 。 

dockerfiles 没有 任何 特定 的 Windows PowerShell 支持 ,但 是 可 以 同时 运行 Windows PowerShell 命令 和 脚本 。 命 
令 可 以 是 带 有 管道 和 多 个 cmdlet 的 复杂 命令 。 要 运行 Windows PowerShell 命令 ， 可 以 使 用 以 下 语法 : 

RUN powershell.exe command <powershellcommand> 

如 果 复 杂 的 任务 需要 作为 配置 映像 的 一 部 分 运行 ,那么 使 用 Windows PowerShell 脚本 而 不 是 许多 单独 的 命令 是 
有 意义 的 。 还 可 以 选择 为 其 他 映像 重用 脚本 。 要 将 脚本 作为 构建 过 程 的 一 部 分 使 用 ， 需 要 在 运行 脚本 文件 之 前 ， 使 
用 COPY 或 ADD 命令 将 脚本 文件 放 入 新 映像 中 。 使 用 以 下 语法 运行 Windows PowerShell 脚本 : 

RUN powershell .exe ~executionpolicy bypass <scriptpath> 

在 前 面 的 示例 中 ,使 用 -executionpolicy 绕 过 选项 来 确保 脚本 可 以 运行 ,而 不 者 虑 为 映像 中 的 脚本 配置 的 Windows 
PowerShell 执行 策略 。 
7.2.7 ”管理 容器 映像 

从 Docker Hub 中 下 载 容 器 映像 时 ， 它 们 存储 在 本 地 容器 主机 上 。 大 多 数 情况 下 ， 我 们 都 拥有 多 个 容器 主机 ， 
因此 将 Docker Hub 中 的 图 像 下 载 到 每 个 容器 主机 上 并 不 很 融 效 。 事 实 上 ， 许 多 容器 主机 可 能 无 法 访问 Internet。 

另 一 个 考虑 因素 是 存储 定制 的 映像 。 可 以 使 用 Docker Hub 私自 存储 定制 的 映像 。 然 而 ， 一 些 组 织 希望 尽 可 能 
多 地 保留 现场 数据 ， 以 最 小 化 数据 泄露 的 风险 。 

可 以 创建 自己 的 现场 注册 表 ， 作 为 使 用 Docker Hub 进行 图 像 存 储 和 检索 的 符 代 方法 。 在 创建 目 己 的 注册 表 之 
后 ， 可 以 使 用 docker pull 和 docker push 命令 来 检索 和 存储 图 像 。 遗 憾 的 是 ，Docker Hub 中 提供 的 注册 表 容 器 使 用 
的 是 Linux 内 核 。Docker 提供 了 关于 如 何 为 注册 表 构 建 Windows 容器 的 说 明 ， 网址 是 https://github.com/docker/labs/ 


tree/master/windows/registry。 


使 用 小 型 C: 驱 动 希 

在 容器 主机 上 ， 映像 和 容器 的 默认 存储 位 置 是 C:\ProgramData\ docker。 根 据 拥 有 的 映像 和 容器 数量 ,该 存储 位 
置 可 能 保存 大 量 数据 。 

在 许多 组 织 部 署 的 服务 器 中 ，C: 驱 动 器 相对 较 小 ， 仅 用 于 托管 操作 系统 ， 而 不 是 应 用 程序 数据 。 如果 C: 驱 动 器 
太 小 ， 可 以 使 用 以 下 过 程 指定 另 一 个 路 径 来 存储 映像 和 容器 : 

(1) 在 C:\ProgramData\ dockerconfig 中 创建 一 个 名 为 daemon.json 的 文件 。 

(2) 编辑 daemon.json， 并 添加 代码 {"graph": "e:\\docker"}。 

(3) 重新 启动 Docker 服务 。 

(4) 使 用 docker info 命令 来 验证 Docker Root Dir 属性 是 否 已 更 新 。 

当 指 定 一 个 新 的 位 置 来 存储 Docker 数据 时 ， 指 定 的 路 径 需要 使 用 \ 分 隔 文件 夹 名 。 另 外 注意 ， 配 置 文件 的 目录 
不 会 更 改 一 只 有 数据 位 置 发 生 了 变化 。 最后， 请 注意 ， 现 有 的 容器 和 映像 不 会 移动 到 新 的 存储 位 置 。 在 修改 存储 
位 置 后 ， 需 要 再 次 检索 映像 。 

如 果 使 用 Hyper-V 容器 ， 则 daemon. json 中 的 图 形 设 置 不 控制 容器 的 位 置 。 相 反 ， 需 要 修改 默认 文件 夹 ， 以 将 
虚拟 磁盘 存储 在 Hyper-V 中 。 


7.3 配置 容 从 


由 于 容器 是 动态 的 ， 不 适合 持久 配置 ， 因 此 配置 容器 带 来 了 独特 的 管理 挑战 。 在 部 署 新 的 虚拟 机 时 ， 和 希望 配置 
在 较 长 一 段 时 间 内 是 持久 的 。 因 此 ， 在 部 署 后 需要 执行 一 些 手动 配置 更 改 ， 比 如 配置 IP 地 址 。 对 于 容器 来 说 ， 需 
要 更 好 的 方式 来 做 到 这 一 点 ， 因 为 容器 通常 是 随 着 时 间 的 推移 而 构建 和 销毁 的 。 
7.3.1 存储 

容器 不 是 为 长 期 存储 数据 而 设计 的 。 容 器 应 该 包含 应 用 程序 的 文件 ， 而 不 是 数据 。 如 果 存 在 任何 持久 数据 (如 
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数据 库 )， 则 需要 将 其 存储 在 容器 之 外 。 笠 运 的 是 ， 容 器 提供 了 几 种 外 部 存储 数据 的 方法 。 

如 有 可 能 ， 将 应 用 程序 配置 为 使 用 文件 共享 上 的 数据 ， 而 不 是 本 地 文件 系统 。 例 如 ， 可 以 使 用 数据 库 引 擎 配置 
容器 ， 以 便 将 数据 库存 储 在 文件 共享 中 。 然 后 ， 当 更 新 或 重新 部 普 该 容器 时 ， 它 将 自动 重新 连接 文件 共享 ， 并 访问 
数据 库 文件 。 

Docker 允许 容器 使 用 容器 主机 上 的 文件 存储 进行 持久 数据 存储 。Docker 使 用 术语 “ 卷 ” 来 指 代 容 器 主机 上 分 
配 的 存储 ， 但 这 与 在 Windows 内 创建 卷 不 同 。 相 反 ，Deocker 在 容器 中 创建 了 一 个 挂 载 点 ， 该 挂 载 点 链接 到 容器 主 
机 上 CAProgramDatavdockervolumes 中 的 文件 光 。 可 以 在 容器 中 定义 作为 挂 载 点 的 路 径 。 例 如 ， 可 以 让 CSQLData 作 

可 在 dockerfile 中 使 用 VOLUME 命令 为 映像 创建 卷 。 此 命令 将 容器 中 的 一 个 空 文件 夹 或 不 存在 的 文件 夹 链 接 
到 | Ca\ProoeramData\docker\volumes 中 的 子 区 件 来 。 这 个 命令 的 语法 是 : 

Volume <MountPointPath> 

对 于 单个 容器 ， 可 以 在 使 用 docker run 命令 时 创建 卷 。 此 方法 允许 指定 容器 主机 上 的 路 径 ， 而 不 仅 是 
C:\ProgramData\docker\Wvolumes。 在 局 动容 器 时 ， 定 义 着 的 语法 是 : 


Docker run 一 -volLume <hostpath>:<containerpath> <imagename> 


容器 中 的 私有 数据 

如 果 使 任何 映像 在 Docker Hub 上 公开 可 用 ， 需 要 非常 注意 存储 在 这 些 映 像 中 的 任何 私有 数据 。 意 外 和 包含 在 映 
像 中 的 最 常见 私有 数据 类 型 之 一 是 包含 私有 密 钥 的 证 书 。 许 多 Web 应 用 程序 需要 安全 的 HTTPS 协议 ， 它 使 用 一 个 
证 书 来 执行 加 密 。 该 证 书包 含 一 个 不 应 该 对 公众 开放 的 私 钥 。 永 远 不 要 上 传 和 包含 证 书 的 映像 ， 并 使 其 公开 可 用 .。 


要 允许 在 容器 中 访问 不 同 的 存储 类 型 ， 可 将 Docker 配置 为 使 用 郑 插 件 。 卷 插件 由 不 同人 存储 类 型 的 供应 商 提供 ， 
可 用 于 连接 到 云 存储 或 存储 区 域 网 络 。 如 果 这 个 特性 很 重要 , 那么 应 该 在 购买 新 的 存储 系统 时 , 验证 插件 是 否 可 用 。 
供应 商 提 供 了 关于 如 何 使 用 插件 的 说 明 。 


7.3.2 网络 


容器 可 用 的 网 络 类 似 于 Hyper-V 的 网 络 功 能 。 可 以 根据 需要 选择 多 种 类 型 的 网 络 。 默 认 情况 下 ， 安 装 Docker 
时 会 创建 一 个 名 为 nat 的 网 络 。 

默认 的 nat 网 络 为 容器 提供 了 网 络 地 址 转换 (NAT)。 这 人 允许 容器 在 局 域 网 LAN) 上 与 主机 和 服务 进行 通信 ， 如 果 
防火 墙 规则 人 允许， 还 可 与 Internet 进行 通信 。 来 自 容器 的 所 有 通信 都 使 用 容器 主机 的 IP 地 址 作为 源 IP 地 址 。 

为 允许 容器 主机 在 nat 网 络 上 通信 ， 创 建 了 一 个 新 的 虚拟 网 络 接口 。 这 个 虚拟 网 络 接口 称 为 VEthemet (HNS 
Internal NIC)。 

在 172.16.0 /16 网 络 上 给 连接 到 默认 nat 网 络 的 容器 提供 一 个 人 P 地 址 。 容 器 还 配置 了 默认 网 天 和 DNS 服务 器 。 
默认 网 关 是 此 网 络 上 容器 主机 的 IP 地 址 ， 因 为 容器 主机 充当 LAN 的 路 由 器 。DNS 服务 器 包括 容器 主机 的 IP 地 址 
和 容器 主机 配置 使 用 的 DNS 服务 器 。 在 nat 网 络 上 IP 地 址 信息 的 自动 配置 类 似 于 动态 主机 配置 协议 (DHCP), 但 配 
置 过 程 不 使 用 DHCP。 静 态 IP 地 址 配置 由 容器 主机 分 配给 容器 。 

如 果 应 用 程序 的 所 有 容器 都 运行 在 同一 个 容器 主机 上 ， 那 么 使 用 默认 的 nat 网 络 就 可 以 很 好 地 工作 。 所 有 容器 
都 可 以 在 nat 网 络 上 进行 通信 ， 并 且 在 定义 的 几 个 特定 端口 上 为 客户 器 提供 到 前 器 服务 的 有 限 连 接 。 

还 可 以 创建 其 他 网 络 类 型 ; 

令 ”透明 。 这 类 网 络 的 行为 就 像 容器 在 LAN 上 一 样 。 这 种 网 络 类 型 上 的 容器 可 以 从 LAN 上 的 DHCP 分 配 IP 

地 址 ， 也 可 以 静态 分 配 。 要 使 用 DHCP 预订 ， 请 使 用 这 种 类 型 的 网 络 ， 因 为 DHCP 预订 基于 容器 的 MAC 
地 址 。 

扫 。”L2bridge。 这 种 类 型 的 网 络 要 求 容 器 与 容器 主机 在 同一 子 网 上 。 从 容器 发 出 的 数据 包 保留 目 己 的 卫 地 址 ， 
但 与 容器 主机 共享 MAC 地 址 。 由 于 共享 的 MAC 地 址 ， 因 此 不 能 将 DHCP 用 于 此 网 络 类 型 的 容器 。 
搜罗 兰 。 这 种 头 型 的 网 络 用 于 群 模 陈 ( 览 多 个 容器 主机 管理 ) 下 的 容器 。 上 履 凑 网 络 允 许 不 同 主机 上 的 容器 表现 

得 像 在 同一 个 网 络 上 一 样 。 
要 创建 新 的 网 络 ， 使 用 以 下 语法 : 
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docker network create -d <networktype> -o <option> <networkname> 
例如 ， 创 建 一 个 连接 到 以 太 网 接口 的 新 透明 网 络 : 


docker network create -d transparent -DO com.docker.network.windowsshim. 
interface="Ethernet™" TransparentNet 


要 查看 容器 主机 上 可 用 的 网 络 ， 可 运行 docker network ls， 如 图 7.10 所 示 。 


PS C:\builds\webappimage?2> docker network ls 
NETWORK ID NAMIE DR 
05452bfc0al0 TransparentNet transparent 


RIVER 
arBagstdcads nat nat 


dcb40d222bd8 none null 
Ps C:\builds\webappimage2> 。 


图 7.10 网 络 清单 


因为 容器 的 设计 是 为 了 快速 部 署 ， 所 以 人 P 配置 信息 不 应 该 嵌入 容器 映像 中 。 相 反 ， 可 以 配置 容器 ， 从 DHCP 
中 获取 地 址 或 定义 一 个 静态 IP 地 址 。 可 将 静态 IP 配置 定义 为 docker run 命令 的 一 部 分 。 表 7.6 列 出 了 一 些 可 用 于 
为 容器 配置 网 络 的 选项 。 


表 7.6 了 网络 配 置 的 docker run 选项 


选项 描述 
-ip="<ipv4address>" 设置 容器 使 用 的 IPv4 地 址 
--dns=<dnsserver.dnsserver> 为 容器 设置 一 个 或 多 个 DNS 服务 器 。 如 果 这 个 设置 未 定义 ， 就 从 主机 上 复制 DNS 服务 器 
--network—<networkname 指定 要 连接 容器 的 网 络 


指定 容器 的 特定 MAC 地 址 。 如 果 这 个 设置 没有 定义 ， 就 基于 IP 地 址 目 动 生成 MAC 地 址 。 
此 设置 对 于 静态 DHCP 预订 非常 有 用 


--INac-address—="<7nacaddress>" 


为 广 持 给 容器 分 配 评 态 IP 地 址 ， 网 络 需 要 同时 分 配子 网 和 网 关 。 为 此 ， 应 该 在 创建 所有 透明 和 L2bridge 网 络 
时 ， 为 它们 分 配子 网 和 网 关 。 子 网 和 网 关 应 该 与 透明 网 络 所 连接 的 局 域 网 相 匹 配 。 使 用 以 下 语法 ; 

docker network create -d transparent --subnet=10.1.1.0/24 -_gateway=10.1.1.1 

要 使 在 容器 内 的 服务 对 在 其 他 容器 中 运行 的 用 户 和 应 用 程序 组 件 可 用 ， 需 要 显 式 地 配置 这 些 容 器 中 的 网 络 。 会 
开 容 器 中 的 网 络 疹 口 允许 连接 到 该 网 络 端口 。 理 解 这 一 点 的 简单 方法 是 把 每 个 容器 看 作 被 完全 保护 起 来 ， 不 允许 任 
何 外 部 问 口 连接 到 该 容器 。 公 开 容 器 中 的 一 个 痛 口 ， 吏 像 在 防火 墙 中 打开 一 个 端口 一 样 。 例 如 ， 为 了 人 允许 连接 到 运 
行 在 容器 中 奖 口 80 上 的 Web 服务 器 ， 需 要 公开 容器 的 问 口 80。 

要 公开 容器 上 的 问 口 ， 可 在 dockerfile 中 使 用 EXPOSE 命令 ， 或 在 docker run 中 使 用 --expose 命令 。docker run 
使 用 的 --expose 选项 添加 到 映像 中 的 EXPOSE 命令 。 例 如 ， 如 果 了 映像 中 的 EXPOSE 命令 用 于 端口 80，docker run 
--expose 用 于 闹 口 443， 则 会 开奖 口 80 和 443。 

如 果 容 器 连接 到 一 个 透明 的 网 络 ， 该 网 络 在 LAN 上 有 自己 的 I 了 PP 地 址 ， 那 么 会 开 一 个 跨 口 就 足以 让 客户 机 访 
问 它 。 如 果 容 器 连接 到 nat 网 络 ， 则 需要 在 主机 上 发 布 咒 口 。 发 布 容器 中 的 闪 口 后 ， 可 以 通过 主机 的 王 地址 访问 
该 端口 。 

如 果 使 用 斋 - 了 选项 的 docker run, 容器 中 的 所 有 公开 问 口 都 将 以 随机 端口 号 在 主机 上 目 动 发 布 。 例 如 ,microsofiis 
映像 已 经 会 开 了 端口 80。 如 果 使 用 -p 运 行 microsoftiis 映像 ， 就 把 主机 上 的 一 个 随机 端口 号 (比如 48056) 映 射 到 该 容 
器 的 问 口 80。 使 用 docker ps 命令 或 docker inspect <container> 可 以 查看 所 选 的 外 部 端口 。 

随机 化 奖 口 很 难处 理 ， 因 为 它们 是 不 可 预测 的 。 如 果 和 希望 对 主机 上 发 布 的 问 口 进行 精确 控制 ， 可 以 使 用 docker 
run 中 的 -p 选项 。 使 用 以 下 语法 : 


docker run -p <hostport>:<containerport> <image> 


容器 网 络 陷阱 

对 于 容器 联网 ， 一 些 考虑 事项 虽然 不 是 很 明显 ， 但 仍然 很 重要 : 

令 ”必须 在 容器 的 主机 上 启用 IPv6。 

例 ”如 果 容 器 主机 是 一 个 虚拟 机 ， 则 创建 一 个 透明 的 网 络 ， 需 要 在 虚拟 机 设置 的 网 络 适 配器 中 启用 MAC 地 址 
其 骗 。 
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合 ”容器 主机 中 的 每 个 网 络 适配器 只 能 分 配 一 个 透明 网 络 或 L2bridge 网 络 。 

令 只 有 NAT 网 络 是 第 一 个 NAT 网 络 的 子 网 ， 才 能 创建 多 个 NAT 网 络 。 例 如 ， 如 果 第 一 个 NAT 网 络 是 
172.16.0.0/116， 就 可 以 创建 一 个 额外 的 NAT 网络 172.16.1.0/24。 这 允许 分 割 更 大 的 NAT 网络。 

合 ”docker run 的 一 些 网 络 选项 (如 --ip6) 不 能 用 于 Windows 容器 。 


要 查看 关于 Windows 容器 联网 的 最 新 文档 ， 请 参阅 Windows Container Networking， 网 址 是 : https://docs. 


microsott.com/en-us/virtualization/windowscontainers/manage-contalners/Contalner-networkineg。 


7.3.3 ”和 贷 产 约束 


默认 情况 下 ， 对 于 任何 单个 容器 可 在 容器 主机 上 使 用 的 资源 都 是 没有 限制 的 。 为 了 防止 单个 容器 影响 其 他 容器 
的 性 能 ， 可 能 需要 使 用 资源 约束 。 可 以 为 内 存 、CPU 和 存储 配置 约束 。Docker 中 没有 限制 网 络 利 用 率 的 功能 。 表 
7.7 列 出 了 docker run 中 可 用 的 一 些 约束 。 


表 7.7 资源 约束 选项 
选 项 说 明 
-memory 指定 分 配给 容器 的 最 大 内 存 
--memory-reservation | 指定 分 配给 容器 的 最 小 内 存 
定义 了 CPU 分 配 的 相对 权重 。 默 认 值 是 1024。 当 处 理 能 力 为 100% 时 ， 指 定 大 于 1024 的 值 会 使 容 


--CDU-shar 

人 器 有 更 多 CPU 时 间 

二 指定 可 分 配给 容器 的 最 大 CPU 内 核 数 。 实 际 上 ， 这 是 CPU 资源 的 百分比 。 例 如 ， 如 果 容 器 主机 有 
4 个 CPU， 可 分 配 两 个 CPU， 以 获得 最 高 50% 的 CPU。 可 以 使 用 小 数 分 配 CPU 的 一 部 分 
指定 容器 可 使 用 的 最 大 CPU 百分比 。 这 比 --cpus 更 容易 使 用 ， 因 为 不 需要 知道 容器 主机 中 的 CPU 

--Cpu-percent 数量 

0 定义 了 磁盘 活动 的 相对 权重 。 默 认 值 是 500。 指 定 大 于 500 的 值 ， 容 器 就 比 其 他 容器 具有 更 高 的 优 

先 级 来 访问 存储 
--io-maxbandwidth 基于 数据 吞吐 量 ， 指 定 磁 盘存 储 的 最 大 通信 速率 
--10-maxiops 基于 IOPS， 指 定 与 磁盘 存储 的 最 大 通信 和 量 


有 大 量 资源 约束 可 用 。 其 完整 列表 请 参阅 Docker Run Reference 中 的 Runtime Constraints on Resources 部 分 ， 网 


址 是 https://docs.docker.conyengine/reference/run/ # runtime-constraints-on-resources。 


7.3.4 对 AD 进行 身份 验证 


拥有 对 资源 的 适当 访问 权限 是 Windows Server 容器 需要 解决 的 挑战 之 一 。 在 传统 的 Windows 环境 中 ， 应 用 程 
序 服务 器 连接 到 Active Directory (AD) 域 ，AD 为 服务 器 之 则 的 协作 提供 身份 验证 服务 。 这 就 是 允许 在 一 个 服务 器 上 
运行 的 服务 访问 男 一 个 服务 器 上 的 资源 的 原因 。 

Windows 容器 从 未 与 AD 连接 。 服 务 在 容器 中 运行 ， 需 要 访问 网 络 资源 (如 文件 共 人 至) 时 ， 这 会 寻 致 喘 份 验证 问题 。 

用 于 访问 网 络 资 源 、 对 容器 进行 AD 身份 验证 的 解决 方案 是 在 AD 中 使 用 组 管理 服务 账户 (gMSA)。 使 用 以 
下 步骤 : 

(1) 在 AD 中 创建 gMSA。 

(2) 在 容器 主机 上 安装 ActiveDirectory PowerShell 模块 ; 

Add—WindowsFeature RSAT-AD-PowerSshell 

(3) 安装 CredentialSpec 模块 ， 其 网 址 是 https://github.com/microsoftDocs/virtualization-Documentation/tree/live/ 
windows-server-container-tools/ SeIVlceAccotnits 。 

(4) 使 用 New-CredentialSpec 创建 CredentialSpec， 并 将 其 存储 为 JSON 文件 。 

New—Credentialspec -Name <nameoffile> -AccountName <gMS5A> 


(5) 使 用 和 凭证 运行 容器 : 
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Docker run -security-op "credentialspec=file://<nameoffile>.]3on" <image> 

将 geMSA 分 配给 容器 后 ， 容 器 中 作为 LocalSystem 或 NetworkService 运行 的 所 有 服务 在 通过 网 络 访问 资源 时 都 
使 用 gsMSA。 在 传统 的 Windows 环境 中 ， 这 些 服务 使 用 计算 机 账户 ， 通 过 网 络 访问 资源 。 

根据 应 用 程序 类 型 的 不 同 ， 使 用 容器 的 gMSA 进行 身份 验证 可 能 需要 额外 的 步骤 。 例 如 ，IIS 需要 为 容器 配置 
服务 主体 名 称 。 请 参阅 有 关 配 置 IS 和 容器 的 详细 信息 ， 网 址 是 https://blogs.msdn.microsoft.com/containerstuff/ 
2017/07/31/gettine-11s-Winauth-to-work-1n-a-container/。 

有 关 使 用 SQL 服务 器 和 容器 的 示例 ， 请 参阅 https://github.com/artisticcheese/artisticcheesecontainer/wiki/Using- 


Group-Managed-Service-Account-(GMSA )-to-connect-to-AD-resources。 


7.4 ”应用 程 友 的 开发 和 部 团 


虽然 可 以 简单 地 将 一 些 现 有 的 小 应 用 程序 移 到 容器 中 , 但 这 并 不 是 容器 真正 的 优点 所 在 。 当 开始 为 容器 开发 应 
用 程序 时 ， 容 器 的 全 部 优点 就 会 体现 出 来 。 如 果 操 作 得 当 ， 容 器 可 以 很 容易 地 从 开发 环境 转移 到 测试 环境 ， 然后 转 
移 到 生产 环境 。 容 器 不 包含 持久 数据 的 事实 使 这 成 为 可 能 。 

在 开发 中 创建 映像 时 ， 它 内 部 没有 任何 应 用 程序 数据 。 相 反 ， 应 用 程序 数据 存储 在 映像 之 外 的 一 个 集中 可 访问 
的 位 置 ， 如 文件 共享 。 映像 内 部 也 没有 定义 IP 地 址 。 在 使 用 docker run 创建 容器 时 定义 网 络 配 置 。 在 开发 中 完成 映 
像 后 ， 可 以 轻松 地 在 测试 环境 中 部 团 它 ， 并 从 中 创建 新 容器 。 只 需要 确保 有 适当 的 数据 存储 位 置 可 用 ， 并 为 测试 环 
境 设置 适当 的 IP 地址。 当 测 试 完成 时 ， 相 同 的 映像 就 转移 到 生产 环境 中 ， 在 那里 创建 新 容器 。 

将 配置 数据 保存 在 容器 映像 之 外 ， 还 可 以 轻松 实现 可 伸缩 性 。 例 如 ， 如 果 基 于 Web 的 应 用 程序 将 数据 存储 在 
SQL 数据 库 中 ， 则 可 以 使 用 基于 Web 的 应 用 程序 的 映像 创建 额外 的 容器 ， 进 行 扩 展 。 创 建新 容器 时 ， 可 以 给 每 个 
容器 指定 新 的 了 P 地 址 ,还 必须 为 与 Web 服务 器 通信 的 客户 机 提供 负载 平衡 , 以 便 客户 机 与 实际 的 Web 服务 器 隔离 。 

最 后 ， 由 于 容器 中 缺乏 持久 数据 ， 这 简化 了 更 新 。 以 一 个 具有 SQL 数据 库 的 映像 为 例 ， 该 数据 库存 储 在 文件 
共享 中 。 在 创建 包含 操作 系统 更 新 或 SQL 引擎 更 新 的 新 映像 之 后 ， 可 以 创建 使 用 相同 IP 地 址 的 新 容器 。 新 映像 将 
自动 访问 文件 共享 上 的 数据 ， 客 户 机 将 继续 在 相同 的 卫 地 址 上 与 SQL 引擎 通信 。 

可 以 看 出 ， 容 器 并 不 意味 着 是 静态 配置 。 它 们 允许 持续 更 新 ， 目 动 构建 过 程 促 进 了 这 一 点 。 但 是 ， 如 果 应 用 程 
序 划分 为 微服 务 ( 即 划分 为 尽 可 能 小 的 逻辑 组 件 )， 那 么 就 更 容易 维护 应 用 程序 的 容器 。 只 要 应 用 程序 各 部 分 之 间 的 
通信 和 定义 得 很 好 ， 吏 允许 开 友 人 员 在 不 破坏 整个 应 用 程序 的 情况 下 ， 不 断 更 新 每 个 微服 务 及 其 相关 容器 。 这 人 允许 对 
应 用 程序 进行 持续 改进 。 

DevOps 是 一 个 较 新 的 应 用 程序 开发 和 维护 过 程 ， 它 关注 应 用 程序 的 持续 改进 和 软件 部 绪 的 目 动 化 。Windows 

部 夏目 动 化 不 仅 使 用 dockerfile 来 构建 映像 。 上 自动 化 可 用 于 跨 多 个 容器 主机 部 绪 容 器 。 这 称 为 容器 编排 。 

最 广泛 用 于 Windows 容器 的 两 种 容器 编排 工具 是 : 

争 Docker Swarm 

令 Kubernetes 

使 用 容器 编排 工具 将 容器 主机 集 从 独立 的 、 隔 离 的 答 主 环境 更 改 为 单个 集成 环境 。 在 某 些 方面 ， 这 会 在 组 织 中 
创建 自己 的 私有 云 资 源 集 。 

以 下 是 编制 工具 可 以 帮助 完成 的 一 些 任务 : 

令 ”确保 应 用 程序 的 实例 分 布 在 多 个 容器 主机 ， 以 提供 容错 功能 。 

全 ”日 动 局 动 额 外 的 容器 ， 以 服务 高 负载 ，。 

多 ”创建 和 删除 新 的 容器 时 ， 自 动 为 微服 务 配 置 负载 平衡 。 

有 关 Docker Swarm 的 更 多 详细 信息 ， 请 参阅 Getting Started with Swarm Mode， 网 址 是 https://docs.microsoft. 
com/en-us/virtualization/Wwindowscontainers/ manage-contalneIs/SwWaIm-mode。 

有 关 Kubernetes 的 详细 信息 ， 请 参阅 Kubernetes on Windows， 了 网址 是 https://docs.microsott.com/en-us/ 
virtualization/ windowscontainers/kubernetes/ gettine-started-kubernetes-windows.。 
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7.5 ”本 六 要 点 


识别 容器 的 特性 。 容 器 为 应 用 程序 提供 了 一 种 新 的 虚拟 化 类 型 。 虚 拟 机 是 为 操作 系统 虚拟 化 硬件 ， 而 容器 是 为 
应 用 程序 虚拟 化 操作 系统 。 
问题 组织 正在 评 信使 用 容器 来 支持 新 的 应 用 程序 开发 。 一 位 同事 担心 自己 会 被 锁定 在 所 有 容器 上 运行 单 
个 Windows 内 核 版 本 。Windows Server 上 的 容器 有 什么 特性 可 以 减缓 这 个 问题 ? 
答案 如 果实 现 了 Hyper-V 容器 ， 那 么 每 个 容器 都 是 隔离 的 ， 运 行 目 己 的 内 核 。 这 样 就 不 需要 同步 容器 主 
机 上 的 操作 系统 更 新 和 运行 在 该 主机 上 的 容器 。 甚 至 可 使 用 Linux 容器 和 Hyper-V 容器 。 
创建 容 颖 上 映像。 通常 ， 从 Docker Hub 中 下 载 映 像 ， 来 创建 容器 映像 ， 然 后 修改 它们 ， 以 满足 需要 。 微 软 使 映 
像 可 用 于 和 常用 配置 (如 Nano Server、Server Core 和 IIS)。 微软 还 会 在 新 的 操作 系统 更 新 可 用 时 更 新 这 些 容器 映像 。 
问题 “学习 如 何 更 好 地 使 用 容器 时 ,组织 只 对 几 个 应 用 程序 使 用 容器 。 由 于 操作 系统 和 应 用 程序 更 新 ， 需 
要 的 更 新 越 来 越 多 ， 这 让 组 织 不 堪 重 负 。 如 何 减少 工作 量 ? 
答案 ”管理 容器 更 新 的 关键 是 尽 可 能 上 自动 完成 部 置 过 程 。 至 少 ， 应 该 在 容器 更 新 后 使 用 dockerfile 创建 映 
像 。 使 用 dockerfile， 可 以 安装 Windows 特性 ， 将 文件 复制 到 映像 中 ， 并 运行 配置 脚本 。 
配置 容 颖 。 在 使 用 docker run 命令 创建 容器 时 ， 可 以 配置 容器 的 许多 方面 。 可 以 配置 对 存储 、 网 络 连接 、 资 源 
约束 和 AD 身份 验证 的 访问 权限 。 让 这 个 配置 在 运行 时 配置 ， 更 容易 更 新 容器 映像 。 
问题 ”安装 Docker 并 将 Windows Server 2016 配置 为 容器 主机 后 ， 会 发 现 只 有 默认 的 NAT 网络 可 用 。 在 
连接 到 该 网 络 的 端口 443 上 创建 一 个 运行 站 点 的 容器 。 然 而 ， 客 户 无 法 连接 到 网 站 。 如 何 解 决 这 个 问题 ? 
答案 ”原因 很 可 能 是 忘记 发 布 容器 问 口 。 对 于 NAT 网 络 上 的 容器 ， 要 从 LAN 接收 连接 ， 需 要 发 布 容器 上 
的 疹 口 。 发 布 就 是 将 容器 上 的 服务 端口 与 容 回 主机 上 的 端口 链接 在 一 起 。 发 布 端 口 后 ，LAN 上 的 客户 机 
可 以 通过 容器 主机 的 IP 地 址 访问 端口 。 
如 果 使 用 microsoft/iis 映像 ， 问 口 80 将 目 动 公 开 。 但 是， 并 口 443 不 会 目 动 公开 。 当 容器 连接 到 NAT 网络 时 ， 
不 会 目 动 上 友 布 端口 。 
评估 应 用 程序 对 容 颖 的 适用 性 。 并 不 是 所 有 应 用 程序 都 适合 在 容器 中 运行 。 人 至少， 需要 确保 应 用 程序 在 Nano 
Server 或 Server Core 上 运行 。 然 而 ， 应 用 程序 体系 结构 也 是 一 个 考虑 因 背 。 应 用 程序 需要 设计 成 文 持 DevOps， 
为 应 用 程序 经 党 在 DevOps 中 更 新 。 
问题 ”一 个 内 部 定制 的 应 用 程序 在 一 个 容器 中 测试 。 访 应 用 程序 有 多 个 服务 ， 似 乎 每 天 都 需要 更 新 容器 。 
如 何 简化 更 新 过 程 ? 
答案 与 DevOps 一 起 出 现 的 是 术语 “微服 务 ”， 其 中 应 用 程序 被 分 割 为 其 最 小 的 逻辑 部 分 。 容 器 的 最 佳 
配置 是 将 每 个 服务 拆 分 成 目 己 的 容器 。 这 样 ， 容 器 的 更 新 更 简单 、 更 容易 目 动 化 。 
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第 
安全 机 制 


从 计算 机 技术 的 早期 开始 ， 安 全 就 已 成 为 IT 专业 人 士 和 开发 人 员 的 一 个 重要 问题 。 如 何 保护 计算 机 、 操 作 系 
统 、 软 件 、 网 络 和 通信 ? 这 些 都 是 计算 机 专业 人 员 一 直 被 问 及 的 问题 一 一 每 个 组 织 中 的 许多 项 目 都 在 尽 可 能 高 的 级 
别 上 配置 安全 设置 。 从 第 一 批 电脑 问世 至 今 已 历经 多 年 ， 问 题 依然 如 故 。 技 术 在 不 断 发 展 ， 遗 憾 的 是 ， 计 算 机 攻击 
也 在 不 断 演变 。 


本 草 内 容 : 

令 ”识别 组 织 的 数据 和 服务 的 安全 风险 

令 ”部 普 和 配置 多 项 技术 ， 为 组 织 的 IT 资源 提供 保护 

令 ”保护 账户 不 受 攻击 

令 ”使 用 最 佳 实践 来 监控 和 保护 网 络 免 受 任何 潜在 的 安全 威胁 


8.1 安全 概述 


从 Windows Server 2003 开始 ， 微 软 为 操作 系统 引入 了 一 种 新 策略 :“ 按 默认 方式 的 安全 ”和 “ 按 设 计 方式 的 安 
全 ”。 这 意味 看 许多 安全 设置 在 默认 情况 下 是 启用 的 。 例 如 ， 具 有 Advanced Security 的 Windows 防火 墙 默 认 司 用 ， 
而 Windows 更 新 也 默认 局 用 。 从 那个 版 本 至 今 ， Windows Server 操作 系统 中 引入 并 包含 了 许多 新 技术 ， 组 织 可 以 
使 用 这 些 技术 将 安全 性 提高 到 最 高 级 别 。 此 外 ， 操 作 系 统 功能 的 开发 考虑 到 安全 设计 。 但 是 ， 为 组 织 的 IT 资源 提 
供 保护 从 来 都 不 是 ， 将 来 也 不 会 是 “设置 并 扎 记 它 ” 的 事情 。 每 个 组 织 都 必须 了 解 最 新 的 安全 威胁 ， 并 采取 适当 行 
动 保 护 其 IT 资源 。 


8.2 ”从 哪里 开始 呢 ? 


即使 从 未 用 过 安全 解决 方案 , 在 将 专家 引入 组 织 或 在 开始 目 己 的 安全 技术 和 技能 培训 之 前 , 也 可 以 做 一 些 事情 。 
我 们 已 经 确定 了 操作 系统 安全 的 几 个 重要 组 成 部 分 , 它们 是 很 好 的 起 点 , 可 以 保护 组 织 免 受 恶意 行为 和 攻击 的 威胁 。 

Windows 防火 墙 ”应 该 始终 运行 Windows 防火 墙 ， 并 且 只 打开 特定 服务 器 的 网 络 通 信 所 需 的 端口 。 最 佳 实践 
是 与 其 他 部 门 的 同事 (如 网 络 管理 员 和 AD 管理 员 ) 密 切合 作 ， 请 他 们 指出 基础 设施 服务 器 (如 域 控 制 器 和 DNS 服务 
器 )、 应 用 程序 和 数据 库 服务 器 (如 内 部 网 应 用 程序 、Exchange Server、SQL Server、Skype for Business 和 SharePoint) 
正在 使 用 哪些 端口 。 

Windows 更 新 过 去 , 大 多 数 病毒 式 网 络 攻击 在 互联 网 上 传播 得 如 此 之 快 , 是 因为 计算 机 没有 更 新 最 新 的 操作 
系统 。 此 外 ， 可 以 防止 这 些 攻击 的 更 新 不 是 新 发 布 的 ; 发 布 它 们 的 时 间 远 早 于 实际 的 攻击 。 记 住 ， 因 为 服务 器 运行 
的 是 不 同 软件 ， 所 以 最 佳 实践 是 先 在 非 生产 环 境 中 测试 新 的 Windows 更 新 ， 再 将 它们 部 普 到 产品 服务 器 。 

反 亚 意 软 件 ”根据 服务 器 的 头 型， 必须 局 用 反 恶 意 软 件 保 护 ， 并 更 新 最 新 的 亚 意 软件 定义 。 最 佳 实践 是 要 知道 
反 恶 意 软 件 (如 Exchange ServeD 的 应 用 程序 限制 ， 这 种 情况 下 ， 需 要 配置 排除 项 ， 以 避免 扫描 某 些 文件 夹 或 文件 类 
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型 。 此 外 ， 确 保 网 络 中 的 所 有 其 他 客户 端 和 设备 都 安装 并 更 新 了 反 恶 意 软 件 。 
用 户 权 限 ”用户 (包括 管理 员 ) 必 须 有 足够 的 权限 执行 与 作业 相关 的 活动 , 仪 此 而 已 ; 这 也 称 为 “最 小 特权 原则 ”。 
管理 员 权限 ”甚至 管理 员 都 应 该 作为 标准 用 户 工作 ， 只 是 运行 管理 权限 较 高 的 任务 ， 因 为 试图 使 用 用 户 权 限 的 
任何 恶意 软件 都 被 限 制 在 用 户 级 权限 。 
用 户 赁 证 用 户 攒 证 的 安全 最 佳 实 践 在 本 书 的 其 他 章节 有 介绍 ， 本 书 会 讨论 到 ， 密 码 需 要 满足 复杂 性 要 求 ， 才 
能 更 安全 。 上 此外， 密码 锁 定 策略 必须 到 位 ， 以 防止 又 力 攻击 ， 即 攻击 者 符 试 多 个 单词 组 合 来 猜测 用 户 密码 。 
定期 了 解 最 新 的 安全 威胁 ; 对 于 在 组 织 中 使 用 的 设备 和 解决 方案 , 阅读 软件 和 人 硬件 供应 商 提供 的 建议 和 最 佳 实践 。 
现在 有 了 学 习 的 基础 ， 下 面 开 始 详细 规划 Windows Server 的 安全 性 。 


8.3 有 哪些 风险 ? 


在 每 个 组 织 中 , 确定 每 个 企业 所 依赖 的 关键 资源 是 极其 重要 的 。 在 防止 恶意 软件 、 攻 击 和 未 授权 访问 的 列表 中 ， 
这 些 资源 应 放 在 最 前 面 。 然 而 ,同样 重 要 的 是 确定 这 些 关 键 业 务 资源 的 依赖 关系 。 例 如 ， 如 果 电 子 邮件 对 业务 很 重 
要 ， 但 攻击 者 成 功 地 关闭 了 DNS 服务 ，Exchange Server 就 无 法 解析 不 同类 型 的 记录 ， 这 意味 着 它 将 无 法 发 送 和 接 
收 电 子 邮件 。 

确定 了 关键 资源 和 依赖 项 后 ， 应 该 知道 哪 些 类 型 的 威胁 会 损害 组 织 的 关键 资源 。 


8.3.1 像 攻 击 者 一 样 思 


有 这 样 的 说 法 :“ 为 了 防止 攻击 者 ， 应 该 像 攻击 者 一 样 思考 "。 攻 击 者 使 用 所 谓 的 攻击 媒介 ， 这 种 活动 导致 攻击 
者 可 对 组 织 的 资源 进行 未 授权 访问 。 另 一 方面 ， 组 织 的 资源 需要 最 小 化 攻击 面 ( 即 可 能 被 攻击 的 资源 )。 关 闭 不 需要 
的 服务 将 最 小 化 攻击 面 。 此 外 ，Windows Server 的 Server Core 安装 、Nano Server 等 技术 进一步 减少 了 攻击 面 。 然 
而 ， 有 些 服务 必须 运行 ， 并 且 可 用 于 业务 过 程 ， 因 此 需要 对 它们 进行 保护 。 

攻击 者 使 用 许多 不 同 的 方法 来 破坏 组 织 的 安全 。 攻 击 回 量 可 能 包含 多 个 组 件 ， 包 括 ; 

倒 ”攻击 网 络 组 件 、 防 火 墙 、 路 由 器 和 VPN 网 关 。 网 络 部 门 应 该 已 经 知道 如 何 通过 网 络 设备 供应 商 发 布 的 定 
期 软件 更 新 来 保护 设备 。 
攻击 操作 系统 。 这 些 攻 击 包 括 发 现 和 利用 服务 器 或 客户 站 操作 系统 中 的 漏 铜 。 
攻击 软件 产品 和 定制 的 应 用 程序 。 这 些 攻击 包括 利用 应 用 程序 中 的 漏洞 。 

对 虚拟 化 基础 设施 的 攻击 。 如 果 攻 击 者 危及 虚拟 化 主机 ， 那 么 所 有 虚拟 机 都 可 能 受到 攻击 。 

恶意 软件 。 悉 意 软 件 可 分 为 几 种 类 型 ， 包 括 : 

* 病毒 。 感 染 电脑 的 目 我 复制 的 恶意 软件 。 

* 森马。 人 允许 攻击 者 远程 访问 受 感 染 系 统 的 恶意 软件 。 

* 勒 察 软件 。 一 种 新 的 、 越 来 越 先 进 的 恶意 软件 ， 它 加 密 重 要 的 数据 。 组 织 只 有 加 恶意 软件 的 作者 支付 

赎金 ， 才 能 得 到 解密 密 钥 。 

争 ”了 网络 钓 鱼 。 通 过 访问 专门 创建 的 网 站 或 打开 专门 创建 的 电子 邮件 , 个 人 无 意 中 使 计算 机 感染 了 恶意 软件 的 
攻击 。 网 络 钓鱼 是 一 种 电子 邮件 ， 它 试图 说 服 大 量 收 件 人 执行 一 个 触发 感染 的 操作 (如 打开 电子 邮件 或 访 
问 网 站 )。 

令 ”社会 工程 。 这 也 许 是 最 被 低估 的 、 也 是 最 危险 的 威胁 之 一 。 这 类 攻击 的 目标 是 欺骗 组 织 内 的 人 ， 诱 使 他 们 
茶 露 有 助 于 攻击 者 访问 公司 数据 和 服务 的 安全 信息 (如 用 户 名 、 密 码 和 IP 地 址 )。 例 如 ， 有 人 可 以 冒充 总 经 
理 ， 联 系 支 持 部 门 ， 要 求 立 即 更 改 密码 。 


8.3.2 ”道德 黑客 


发 现 安 全 漏洞 需要 操作 系统 、 应 用 程序 、 网 络 连接 和 安全 技术 的 知识 。 许 多 组 织 雇用 IT 安全 专业 人 员 作 为 全 
职员 工 ， 或 雇用 外 部 顾问 ， 让 他 们 负责 保护 基础 设施 、 数 据 和 服务 。 安 全 专业 人 员 定 期 进行 站 德 黑 客 攻击 ， 包 括 运 
行 应 用 程序 、 执 行 过 程 ， 试 图 破坏 组 织 的 安全 系统 ， 但 希望 得 到 的 结果 是 修复 测试 过 程 中 发 现 的 次 在 安全 问题 。 送 


德 黑 客 程序 可 能 包括 渗透 测试 ， 即 安全 专业 人 员 试 图 从 互联 网 上 攻击 并 进入 内 部 IT 基础 设施 。 一 些 过 程 只 包括 扫 


邻 今 今 依 
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描 ， 以 确定 本 不 应 打开 的 哪些 端口 却 打 开 了 ， 成 为 潜在 的 攻击 面 。 


钓鱼 攻击 仿真 

一 家 金融 机 构 意 识 到 ， 世 界 各 地 正在 实施 大 量 的 网 络 钓鱼 攻击 。 这 些 针 对 金融 机 构 的 攻击 通常 使 用 电子 邮件 ， 
其 中 包括 与 金融 机 构 原 始 标识 非常 相似 的 标识 。 由 于 内 部 应 用 程序 的 更 新 ， 邮 件 要 求 收 件 人 点 击 链接 ， 并 输入 用 户 
名 和 密码 。 安 全 部 门 的 计划 是 向 所 有 公司 员工 发 送 含有 钓鱼 内 容 的 电子 邮件 ， 来 模拟 钓鱼 攻击 。 为 了 检查 用 户 的 安 
全 意识 ， 他 们 计划 数 一 数 几 天 内 点 击 链接 的 用 户 数量 。 然 而 ， 就 在 计划 发 送 钓 鱼 邮 件 的 同一 天 ，IT 部 门 正 与 外 部 消 
息 传递 顾问 一 起 优化 电子 邮件 服务 器 的 基础 设施 。 发 送 “ 的 鱼 邮 件 ” 后 ， 消 息 传递 团队 和 顾问 发 现 了 钓鱼 邮件 ， 并 
警告 所 有 人 不 要 打开 它 ， 这 破坏 了 测试 员工 安全 意识 的 计划 。 从 这 个 实际 案例 中 得 到 的 教训 有 两 个 。 第 一 ， 业 务 用 
户 没有 机 会 做 出 反应 ， 所 以 下 一 次 他 们 计划 进行 测试 时 ， 需 要 把 安全 部 门 的 钓鱼 模拟 告知 IT 部 门 ， 这 样 他 们 就 不 
会 警告 用 户 。 第 二 ，IT 部 门 的 准备 非常 充分 ， 反 应 迅速 ， 防 止 钓鱼 攻击 在 整个 组 织 中 传播 。 


8.4 ”保护 账户 


用 户 账户 是 最 具 吸 引力 的 攻击 对 象 之 一 。 为 什么 ? 因为 正确 输入 的 用 户 账 户 信 息 提 供 了 必要 的 权限 ， 来 访问 用 
尸 可 以 访问 的 所 有 资源 。 因 此 ， 攻 击 者 开发 了 许多 类 型 的 技术 来 锅 取 用 尸 的 凭证 ， 访 问 数 据 和 服务 。 
下 面 介绍 各 种 技术 ， 来 帮助 最 大 化 用 户 账 户 的 安全 性 和 保护 。 


8.4.1 访问 权限 


很 长 一 段 时 间 以 来 , 保护 Windows 服务 器 基础 设施 的 最 佳 原 则 之 一 是 同 用 户 和 管理 员 授 予 执行 日 党 活动 所 需 的 
最 低 权 限 。 这 样 ， 如 果 账 户 受 到 攻击 ， 攻 击 者 只 能 获得 分 配给 该 账户 的 最 小 权限 集 。 

因此 ， 管 理 员 和 开发 人 员 需 要 为 日 常 活动 (如 阅读 电子 邮件 和 浏览 互联 网 内 容 ) 使 用 独立 的 账户 ， 只 有 在 执行 需 
要 这 些 特定 权限 的 任务 时 ， 他 们 才 应 该 使 用 特权 账户 。 

如 何 实 现 这 一 点 ?如 果 将 权限 分 配给 组 而 不 是 用 户 ， 则 会 更 方便 ; 一 旦 定义 了 组 的 安全 权限 ， 管 理 员 就 可 以 在 
这 些 组 中 添加 或 删除 用 户 ， 其 中 ， 组 成 员 关 系 将 通过 资源 和 管理 工具 上 自动 定义 用 户 权 限 。 

此 外 ， 可 以 使 用 Group Policy 在 Group Policy 编辑 器 中 分 配 用 户 账 户 权 限 ，Group Policy 编辑 器 位 于 Computer 
Configuration\Policies\Local Policies\User Rights Assignment 下 。 这 些 设置 如 表 8.1 所 示 。 


表 8.1 Group Policy 编辑 器 中 的 用 户 账 尸 权 限 


用 户 权 限 分 配 荣 略 功 能 
作为 受信 任 的 调用 者 访问 凭证 管理 器 在 备份 和 恢复 期 间 由 凭证 管理 器 使 用 
从 网 络 上 访问 这 全 计算 机 定义 了 哪些 用 户 和 组 可 以 连接 到 网 络 上 的 计算 机 
作为 操作 系统 的 一 部 分 在 未 经 身份 验证 的 情况 下 ， 人 允许 进程 模拟 用 户 
问 域 添加 工作 站 允许 将 工作 站 连接 到 域 
调整 进程 的 内 存 配 额 定义 哪些 安全 主体 可 以 调整 分 配给 进程 的 最 大 内 存量 
允许 本 地 登录 定义 哪些 用 户 可 以 本 地 登录 到 计算 机 
人 允许 通过 Remote Desktop Services 登录 定义 哪些 用 户 和 组 可 以 使 用 Remote Desktop 远程 登录 
备份 文件 和 目录 授予 备份 文件 、 目 录 和 注册 表 的 权限 
绕 过 授 历 检查 允许 具有 此 权限 的 用 户 遍 历 他 们 无 权 访问 的 目录 
更 改 系统 时 间 允许 具有 此 权限 的 用 户 更 改 系 统 时 间 
更 改 时 区 允许 具有 此 权限 的 用 户 更 改 时 区 
创建 页 面 文 件 允许 具有 此 权限 的 用 户 创 建 和 修改 页 面 文件 
创建 令 牌 对 象 定义 流程 可 以 使 用 哪些 用 户 账户 来 创建 允许 访 问 本 地 资源 的 令 牌 


创建 全 局 对 象 定义 哪些 用 户 账 户 可 以 创建 对 所 有 会 话 可 用 的 全 局 对 象 
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( 续 表 ) 
用 户 权限 分 配 策略 功 能 
创建 永久 的 共享 对 象 定义 哪些 用 户 账户 可 使 用 对 象 管理 器 创建 目录 对 象 
创建 符号 链接 定义 哪些 用 户 账 户 可 从 登录 的 计算 机 中 创建 符号 链接 
调试 程序 定义 哪些 用 户 账 户 可 将 调试 器 附加 到 操作 系统 内 核 中 的 进程 
拒绝 从 网 络 上 访问 这 人 台 计 算 机 阻止 指定 的 用 户 和 组 从 网 络 上 访问 该 计算 机 
拒绝 作为 批 作业 登录 阻止 指定 的 用 户 和 组 作为 批 作业 登录 
拒绝 作为 服务 登录 阻止 服务 账户 将 流程 注册 为 服务 
拒绝 本 地 登录 阻止 账户 在 本 地 注册 


拒绝 通过 Remote Desktop Services 登录 
允许 信任 计算 机 和 用 户 账 户 ， 以 进行 委托 


阻止 账户 通过 Remote Desktop Services 登录 
定义 是 否 可 以 配置 用 户 或 计算 机 对 象 上 的 Trusted For Delegation 设置 


强迫 从 远程 系统 上 关机 分 配 了 这 个 权限 的 用 户 可 从 远程 网 络 位 置 关闭 计算 机 

生成 安全 审计 定义 哪些 账户 可 由 生成 安全 日 志 的 进程 使 用 

号 份 验证 后 模拟 客户 端 允许 代表 用 户 运 行 的 应 用 程序 模拟 客户 端 

增加 过 程 工作 集 分 配 了 这 个 权利 的 账户 可 增加 或 减少 对 内 存 中 的 进程 可 见 的 内 存 分 页 数 

增加 调度 优先 级 账户 可 改变 进程 的 调度 优先 级 

加 载 和 全 载 设备 驱动 程序 账户 可 在 内 核 模 式 下 动态 加 载 和 中 载 设 备 驱 动 程序 

锁定 内 存 中 的 页 面 账户 可 使 用 进程 将 数据 存储 在 物理 内 存 中 ， 阻 止 数 据 分 页 到 虚拟 内 存 中 

作为 批 作业 登录 用 户 I 此 权限 仅 适 用 于 比 Windows 10 及 
Windows Server 2016 旧 的 版 本 

登录 为 服务 允许 安全 主体 登录 为 服务 

Py 用 户 可 为 文件 、 文 件 夹 和 AD DS 对 象 等 资源 配置 对 象 访问 审计 选项 ， 它 们 还 

EE 可 以 查看 安全 日 志 中 的 事件 ， 清 除 安全 日 志 

修改 对 象 标签 用 户 可 以 修改 对 象 的 完整 性 级 别 ， 包 括 文 件 、 注 册 表 项 或 进程 

修改 固件 环境 值 定义 了 哪些 用 户 可 以 修改 固件 环境 变量 


为 同一 会 话 中 的 另 一 个 用 户 获 取 模 拟 令 牌 


将 此 权限 分 配给 用 户 时 , 代表 该 用 户 运 行 的 所 有 程序 都 可 获得 同一 会 话 中 交互 
式 登 录 的 其 他 用 户 的 模拟 令 有 牌 
定义 哪些 用 户 账 户 可 以 执行 卷 上 的 维护 工作 。 分 配 此 权限 有 安全 风险 , 因为 具 


执行 卷 维护 任务 
- 有 此 权限 的 用 户 可 能 访问 存储 在 卷 上 的 数据 

配置 单个 流程 定义 了 哪些 用 户 账户 可 利用 性 能 监视 工具 来 监视 非 系统 进程 
配置 系统 性 能 定义 哪些 用 户 账户 可 利用 性 能 监视 工具 来 监视 系统 进程 
将 计算 机 从 停靠 站 移 开 分 配 该 权限 后 ， 用 户 账户 可 从 停靠 站 上 移 除 便 携 式 计算 机 ， 而 不 必 登 录 

ee 分 配 该 权限 后 ， 用 户 账 户 可 调用 CreateProcessAsUser 应 用 程序 编程 接口 (APT)， 
PO 以 便 一 个 服务 触发 另 一 个 服务 
恢复 文件 和 目录 允许 用 户 绕 过 对 文件 、 目 录 和 注册 表 的 权限 ， 用 恢复 的 数据 覆盖 这 些 对 象 
关闭 系统 给 本 地 注册 用 户 分 配 关闭 操作 系统 的 能 力 
同步 目录 服务 数据 分 配 了 同步 AD DS 数据 的 能 力 

分 配 该 权限 后 ， 用 户 账 上 得 任何 安全 对 和 象 的 所 有 权 ， AD DS 订 家 、 

下 起 文 保 功 其 但 对 象 的 所 用 机 分 配 该 权限 后 ， 用 户 账 户 可 取得 任何 安全 对 象 的 所 有 权 ， 包 括 对 象 


文件 、 文 件 夹 、 注 册 表 项 、 进 程 和 线程 


8.4.2 你 护 用 尸 账户 


组 织 中 的 用 户 账 己 是 攻击 者 想 要 获取 的 最 敏感 对 象 之 一 。 要 配置 用 户 账 户 的 安全 性 , 可 在 Active Directory Users 
and Computer 中 打开 用 户 账 户 的 Properties 窗口 ， 并 选择 Account 选项 卡 ， 如 图 8.1 所 示 。 
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[| Unlock account 


Account options: 


DL User must change password at next logon 


器 User cannot change password 
[四 Password never expires 
LL] Store password using reversible encryption 


Account expires 
(®) Never 
O 〇 End of: Thursday ， March “1,2018 


8.1 配置 用 户 账户 设置 


可 以 为 账户 配置 以 下 安全 选项 : 

令 ”Logon Hours( 登 录 时 间 )。Logon Hours 设置 可 用 于 配置 用 户 何 时 可 以 使 用 账户 。 例 如 ， 可 以 配置 账户 ， 使 
用 户 只 能 从 周一 到 周 五 早上 7 点 到 晚上 8 点 使 用 它 。 默 认 情 况 下 ， 有 用户 总 是 可 以 登录 。 

令 ”Log On To( 登 录 到 )。Log On To 设置 可 用 于 限制 账 尸 可 以 登录 的 计算 机 。 默 认 情 况 下 ， 用 户 可 以 使 用 账户 
登录 到 域 中 的 任何 计算 机 。 

令 ”Unlock account( 解 锁 账 己 )。 用 于 解锁 因 多 次 输入 错误 密码 ， 并 达到 Account Lockout Policy 国 值 而 被 锁定 
的 账户 。 

令 User must change password at next logon( 用 户 必须 在 下 次 登录 时 修改 密码 )。 管 理 员 创建 新 账户 或 重 置 密 
码 时 ， 可 以 使 用 此 设置 ， 以 便 用 户 可 以 选择 其 他 人 不 知道 的 密码 。 

令 User cannot change password( 用 户 无 法 更 改 密码 )。 不 建议 配置 此 选项 ， 因 为 定期 更 改 密码 会 增加 安全 性 。 

令 Password never expires( 密 码 水 不 过 期 )。 不 建议 配置 此 选项 ， 因 为 它 使 账户 更 容易 被 攻破 。 

令 Store password using reversible encryption( 使 用 可 道 的 加 密 方 法 存储 密码 )。 除 非 存 在 使 用 协议 进行 密码 验 
证 的 旧 应 用 程序 需求 ， 否 则 不 建议 使 用 此 选项 ， 因 为 它 允 许 对 密码 进行 解密 。 

令 Account Is Disabled( 禁 用 账户 )。 用 于 禁用 或 局 用 用 户 账户 。 

令 ”Smart card is required for interactive logon (需要 智能 卡 进行 交互 式 登 录 )。 当 局 用 此 选项 时 ， 束 确保 必须 
提供 智能 卡 ， 才 能 进行 账户 登录 。 

令 Account is sensitive and cannot be delegated (账户 很 敏感 ， 不 能 委托 )。 当 局 用 此 选项 时 ， 就 确保 受信 任 的 
应 用 程序 不 能 将 账户 的 凭证 转发 给 网 络 上 的 其 他 服务 或 计算 机 。 
Use only kerberos des encryption types for this account (只 为 此 账户 使 用 Kerberos DES 加 密 类 型 )。 此 选 
项 配置 账户 ， 只 使 用 数据 加 密 标 准 (DES) 加 密 。 

令 This account supports kerberos aes 128-bit encryption (此 账户 支持 Kerberos AES 128 位 加 密 )。 此 选项 允 
许 使 用 KKerberos AES 128 位 加 密 。 

令 This account supports kerberos aes 2S6-bit encryption (此 账户 支持 Kerberos AES 256 位 加 密 )。 此 选项 打 
开 Kerberos AES 256 位 加 密 。 

令 ”Do not require kerberos preauthentication (不 需要 Kerberos 预先 身份 验证 )。 不 建议 局 用 此 选项 ， 因 为 这 
会 降低 登录 过 程 的 安全 性 。 

令 ”Account expires (账户 到 期 )。 此 选项 配置 到 期 日 期 ， 在 不 再 需要 账户 后 ， 这 些 账户 就 不 再 保留 在 AD DS 中 。 

8.4.3 ”配置 账户 策略 设置 


账户 策略 分 为 密码 策略 和 账户 锁定 集 略 。 域 密码 和 账户 锁定 策略 应 用 于 域 级 别 。 使 用 位 于 Computer Configuratiom\ 
Policies\Security Settings\Account Policies 下 的 Group Policy 管理 编辑 器 ， 可 以 通过 默认 域 Group Policy Object(GPO) 
配置 它们 。 

配置 适用 于 安全 组 成 员 或 单个 用 户 账 己 的 细 粒 度 密码 策略 ,可 者 盖 域 密码 策略 。 使 用 Active Directory 管理 中 心 
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控制 全 可 以 配置 细 粒 度 密码 策略 。 


密码 策略 定义 了 : 
多 以 前 的 密码 记 住 了 多 少 个 。 默 认 值 是 记 住 24 个 密码 。 这 意味 着 在 更 改 密码 时 ， 用 户 不 能 使 用 之 前 24 个 密 
码 中 的 任何 一 个 。 


令 ”密码 的 最 大 年 龄 。 这 是 用 尸 必须 更 改 密码 前 的 最 长 时 间 。 默 认 值 是 42 天 。 

令 ”密码 的 最 小 年 龄 。 用 户 在 更 改 密码 之 前 必须 保留 密码 的 最 短 时间 。 此 设置 可 确保 用 户 不 会 不 断 更 改 密码 ， 
耗 义 密码 历史 记录 ， 最 后 只 能 使 用 相同 的 密码 。 默 认 是 一 天 。 

令 ”最 小 密码 长 度 。 密 码 必须 包含 的 最 小 字符 数 。 默 认 是 7 个 字 稚 。 

令 ”密码 是 否 必须 人行 合 复杂 性 要 求 。 密 码 必须 包含 以 下 四 元 素 中 的 三 种 ; 大 写字 母 、 小 写字 母 、 数 字 和 符号 。 
这 是 默认 月 用 的 。 

域 账户 锁定 策略 定义 了 : 

令 ”用户 输入 指定 次 数 的 错误 密码 时 ， 账 户 被 锁定 多 久 。 默 认 情 况 下 没有 锁定 。 

令 ”在 Windows 锁定 账户 前 的 特定 时 间 范 围 内 ， 用 户 可 能 连续 输入 多 少 次 错误 密码 。 

令 ”必须 经 过 多 长 时 间 ， 账 尸 锁定 计数 如 才能 复位 。 


8.4.4 受 保护 的 用 户 、 身 份 验 证 策略 和 身份 验证 策略 silo 


经 常 发 生 的 攻击 是 散 列 传递 攻击 ， 攻 击 者 使 用 用 户 密码 的 NTLM 哈 希 来 进行 身份 验证 。 目 从 Windows Server 
2012 R2 之 后 ， 有 了 新 的 特性 来 防止 这 些 类 型 的 攻击 。 通 过 限制 安全 性 和 身份 验证 选项 较 低 的 账户 ， 受 保护 的 用 户 
组 用 来 帮助 保护 拥有 高 度 特权 的 用 户 账户 ， 以 防止 发 生 和 危害 。 受 保护 的 用 户 组 与 其 他 用 户 不 同 ， 因 为 Windows 不 
会 在 本 地 缓存 他 们 的 赁 证。 属于 此 组 的 用 户 账户 不 能 使 用 : 


令 ”默认 凭证 委托 

售 Windows Digest 

人 S NILM 

倒 ”Kerberos 长 期 密 钥 

仿 ”离线 登录 

如 果 域 功能 级 别 为 Windows Server 2012 R2 或 更 高 ， 则 属于 受 保护 用 户 组 的 用 户 账户 不 能 : 
令 ”使 用 NTLAN Manager(NTLM) 进 行 导 份 验 证 
倒 ”为 Kerberos 预先 身份 验证 使 用 DES 

令 ”为 Kerberos 预先 身份 验证 使 用 RC4 密码 套件 
令 ”使 用 受 限 委托 

令 ”使 用 无 约束 委托 

人 


除了 第 一 个 240 分 钟 的 生存 期 外 ， 更 新 TGT 

只 有 用 户 账户 应 该 添加 到 受 保 护 的 用 户 组 。 计 算 机 和 服务 账户 不 应 添加 到 受 保 护 的 用 户 组 。 

使 用 身份 验证 策略 ， 人 允许 配置 设置 ， 例 如 TGT 生存 期 和 访问 控制 条 件 ， 这 些 条 件 指定 用 户 在 登录 到 计算 机 之 
前 必须 满足 的 条 件 。 例 如 ， 可 以 配置 一 个 身份 验证 策略 ， 该 策略 指定 TGT 生命 周期 为 180 分 钟 ， 并 限制 用 户 账 户 ， 
使 用 户 只 能 在 特定 设备 上 使 用 它 。 呈 份 验证 策略 要 求 将 域 功 能 级 别 设 置 为 Windows Server 2012 R2 或 更 新 版 本 。 

身份 验证 策略 silo 允许 管理 员 定 义 用 户 、 计 算 机 和 托管 服务 账 尸 之 间 的 关系 ， 仅 验证 账户 属于 单个 映 份 验证 策 
略 silo。 可 将 喘 份 验证 策略 silo 中 的 账户 与 silo 声明 关联 起 来 ， 然 后 可 以 使 用 此 silo 声明 来 控制 对 支持 声明 的 资源 
的 访问 。 例 如 ， 必 须 将 能 够 访问 特别 敏感 服务 器 的 账 己 与 特定 声明 关联 起 来 。 


8.4.5 委托 权限 


在 组 织 中 计划 安全 权限 分 配 时 ， 作 为 管理 员 ， 可 能 希望 从 具有 特定 特权 集 的 默认 内 置 组 中 进行 选择 。 例 如 ， 域 
Admins 组 的 成 员 可 以 执行 一 组 特定 的 管理 任务 ， 模 式 Admins 组 的 成 员 可 以 执行 男 一 组 管理 任务 。 

然而 ， 在 许多 情况 下 ， 默 认 的 安全 组 不 符合 组 织 的 安全 要 求 。 因 此 ， 可 以 创建 新 的 安全 组 ， 并 将 特定 的 和 目 定 
义 的 安全 权限 委托 给 它们 。 为 此 ， 可 以 使 用 Delegation of Control 同 导 来 委托 特定 的 权限 。Delegation of Control 回 
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导 人 允许 委托 以 下 权限 。 
创建 、 删 除 和 管理 用 户 账户 
重 置 用 户 密码 ， 下 次 登录 时 强制 更 改 密码 
读 取 所 有 用 户 信息 
创建 、 删 除 和 管理 组 
改变 组 成 员 
管理 Group Policy 链接 
生成 Resultant Set of Policy (规划 ) 
生成 Resultant Set of Policy (日 志 ) 
创建 、 删 除 和 管理 inetOrgPerson 账户 
重 置 inetOrgPerson 密码 ， 下 族 登录 时 强制 更 改 密码 
读 取 inetOrgPerson 的 所 有 信息 
该 问 导 还 可 用 于 创建 可 委托 的 目 定 义 任务 。 完 成 此 操作 后 , 在 要 委托 控制 的 组 织 单元 (OU) 或 文件 夹 中 指定 对 象 ， 
在 要 委托 控制 的 对 象 上 指定 权限 。 


8.4.6 ”全 证 的 休 护 


凭证 保护 使 用 基于 虚拟 化 的 安全 措施 来 隔离 缓存 的 凭证 ， 从 而 保护 组 织 不 受 票 据 传 递 和 散 列 传递 攻击 ， 这 样 只 
有 特殊 权限 的 系统 软件 才能 访问 它们 。 和 凭证 保护 可 以 限制 对 特殊 进程 和 内 存 的 访问 ， 这 些 进程 和 内 存 负责 管理 、 存 
储 与 授权 及 号 份 验证 相关 的 数据 。 

凭证 保护 包括 以 下 特性 和 解决 方案 : 

令 ”和 赁 证 保护 利用 硬件 安全 性 能 ， 包 括 安 全 引导 和 虚拟 化 ， 从 操作 系统 中 隔离 所 有 凭证 。 

倒 ”和 赁 证 保护 使 用 Group Policy、Windows 管理 规范 (WMD 或 Windows PowerShell 来 管理 。 

凭证 保护 只 能 部 普 在 满足 茶 些 硬件 需求 的 计算 机 上 ,例如 64 位 CPU、CPU 虚拟 化 扩展 和 扩展 页 表 以 及 Windows 
监控 管理 程序 .如 果 受 保护 的 操作 系统 在 虚拟 机 上 运行 ,Hyper-V 主机 必须 运行 Windows Server 2016 或 至 少 Windows 
10 版 本 1607。 虚 拟 机 必须 是 第 2 代 。 不 支持 在 域 控制 器 上 局 用 凭证 保护 。 

要 局 用 凭证 保护 , 可 以 使 用 Group Policy 和 党 理 编辑 器 的 Computer Configuration\Administrative Templates\System\ 
Device Guard 节点 ， 并 局 用 Tur On Virtualization Based Security 设置 ， 如 图 8.2 所 示 。 


人 和 和 


Setting 
[| Deploy Code Integrity Policy 


Turn On Virtualization Based Security 


8.2 在 Group Policy 管理 编辑 器 中 配置 凭证 保护 


在 配置 此 策略 时 ， 首 先 必须 将 其 设置 为 启用 ， 然 后 将 执行 安全 级 别 设 置 为 Secure Boot 或 Secure Boot and DMA 
Protection。 此 后 ， 必 须 将 凭证 保护 配置 选项 设置 为 Enabled With UEFI Lock 或 Enabled Without Lock。 


8.5 ”保护 静止 效 据 


静止 数据 表示 人 存储 在 客户 机 、 服 务 器 、 数 据 库 或 备份 介质 上 的 所 有 数据 。 静 止 数据 也 是 攻击 者 的 一 个 流行 目标 ， 
因为 如 果 成 功 访 问 ， 它 可 以 被 复制 、 传 输 ， 然 后 用 于 不 同类 型 的 非法 活动 。 新 闻 媒 体 报 志 了 世界 各 地 个 人 用 尸 信息 
和 信用 卡号 码 被 盗 的 大 量 事例 。 所 有 这 些 例子 都 表明 ， 应 该 认真 对 繁 对 静止 数据 的 保护 。 下 面 将 解释 一 些 技术 ， 这 
些 技 术 将 帮助 保护 存储 在 组 织 中 多 个 位 置 的 数据 。 


8.5.1 加密 文件 系统 
加 密 文件 系统 (EFS) 在 Windows 操作 系统 中 已 经 存在 多 年 了 。 部 署 EFS 的 唯一 先决 条 件 是 , 磁盘 需要 使 用 NTFS 
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文件 系统 进行 格式 化 。 它 对 文件 和 文件 夹 进行 加 密 ， 只 允许 经 过 授权 的 用 户 解 密 数据 ， 并 防止 未 经 授权 的 用 户 查 看 
其 内 容 。 无 论 用 户 对 文件 拥有 何 种 权限 ， 加 密 和 解密 过 程 对 用 户 和 应 用 程序 都 是 透明 的 。 加 密 文 件 或 文件 夹 时 ， 用 
户 只 需要 选择 一 个 复 选 框 来 加 密 内 容 ， 以 保护 数据 ， 如 图 8.3 所 示 。 


Compress or Encrypt attributes 


[_ | Compress contents to save disk space 


A Encrypt contents to secure data 


8.3 ”在 文件 夹 编 辑 嚣 上 配置 EFS 
当 用 户 访 问 加 密 文 件 或 加 密 文 件 夹 时 ， 他 们 会 像 打 开 非 加 密 文 件 一 样 打开 它们 。 当 未 经 授权 的 用 户 试图 打开 文 
件 时 ， 他 们 将 收 到 一 条 消息 ， 声 明 访 问 被 拒绝 。 
EFS 加 蜜 和 解密 过 程 包括 以 下 步骤 ， 如 图 8.4 所 示 。 


文件 加 窗 文件 解密 
对 称 
密 铀 私有 


图 8.4 加 密 和 解密 的 过 程 


(1) 当 用 户 想 要 加 蜜 文件 时 ，EFS 首先 为 每 个 必须 加 密 的 文件 生成 一 个 随机 的 对 称 文件 加 密 密 钥 (FEK)。 然 后 
EFS 用 生成 的 FEK 加 密 文件 ， 并 使 用 用 户 的 公 和 钥 加 密 FEK。EFS 将 加 密 的 FEK 与 用 户 的 公 和 钥 存 储 在 数据 解密 字段 
(DDF) 中 。 这 确保 只 有 拥有 匹配 私 钥 的 用 户 才能 解密 FEK， 然 后 使 用 FEK 解密 文件 。 

(2) 如 果 定 义 了 一 个 恢复 代理 ，EFS 就 创建 一 个 数据 恢复 字段 (DRF)。DRF 包含 由 数据 恢复 代理 的 公 角 加密 的 
FEK。EFS 从 恢复 代理 文件 的 恢复 证 书 (存储 在 Group Policy) 中 ， 自 动 获 得 恢复 代理 的 公 和 钥 。 

(3) 如 果 用 户 至 少 具 有 对 文件 的 读 取 访 问 权 限 ， 则 可 以 解密 文件 。 用 户 只 有 拥有 与 存储 在 DDF 或 DRF 中 的 公 
钥 匹 配 的 私 钥 ， 才 能 解密 该 文件 。 为 解密 文件 ，EFS 使 用 用 户 的 私 钥 解密 FEK。 如 果 EFS 成 功 解 窗 了 FEK， 那 么 
EFS 使 用 它 来 解密 文件 内 容 。 


8.5.2 BitLocker 


EFS 保护 的 是 文件 和 文件 夹 ， 而 BitLocker 是 一 种 卷 加 密 技 术 ， 它 加 密 整 个 着 ， 以 保护 数据 不 受 未 经 授权 的 访 
问 。BitLocker 首次 在 Windows Vista 操作 系统 上 引入 ; 它 具 有 以 下 特点 : 

使 ”BitLocker 加 密 整 个 卷 或 只 加 密 卷 中 己 使 用 的 部 分 。 

合 ” BitLocker 可 使 用 可 信 平 台 模块 (TPMD) 保 护 Windows 启动 过 程 的 完整 性 。BitLocker 验证 所 需 的 引导 文件 没 
有 被 臭 改 或 修改 。 如 果 验 证 过 程 发 现 该 文件 被 修改 一 一 例如 ， 被 rootkit 或 引导 届 区 病毒 修改 一 一 Windows 
就 不 会 月 动 。 

分。 BitLocker 需要 多 因素 丑 份 验证 ， 如 PIN 或 USB 启动 键 。 

令 ”可 为 BitLocker 配置 Network Unlock at Startup( 局 动 时 网 络 解锁 )。 通 过 网 络 解锁 ， 当 连接 到 受信 任 的 公司 
网 络 时 ，BitLocker 保护 的 设备 将 自动 司 动 ; 否则 ， 就 需要 提供 启动 PIN。 

仿 ”BitLocker 提供 了 一 个 恢复 机 制 、48 位 恢复 键 或 恢复 代理 ， 如 果 TPM 失败 或 密码 丢失 ， 束 使 用 该 恢复 机 
制 来 访问 卷 数据 。 

倒 BitLocker 保护 整个 卷 不 受 离 线 攻 击 。 在 Windows 设备 启动， 用 户 获 得 对 受 保 护 卷 的 访问 权 之 后 ， 授 权 用 
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户 如 果 具 有 适当 的 文件 权限 ， 就 可 以 访问 BitLocker 加 密 卷 上 的 数据 。 
令 ”可 将 BitLocker 和 EFS 合并 起 来 。BitLocker 在 卷 级 加 密 ， 而 EFS 在 文件 级 加 密 数 据 。 
令 BitLocker 的 性 能 开销 是 最 小 的 。 对 于 大 多 数 安 装 而 言 ， 性 能 影 啊 并 不 明显 。BitLocker 驱动 器 加 密 体 系 结 
构 如 图 8.5 所 示 。 
密封 的 VMK TPM 


解 开 密封 的 VMK 


解密 FVEK 


使 用 FVEK 解 密 数 据 


一 


明文 数据 
8.5 BitLocker 驱动 加 密 的 体系 结构 


忆 区 由 全 卷 加 密 密 铀 EVEK) 加 密 。FVEK 通过 卷 主 密 钥 (VMK) 进 一 步 加 密 。FVEK 必须 安全 地 存储 ， 因 为 它 有 
解密 郑 的 能 力 。FVEK( 用 VMK 加 密 ) 作 为 卷 元 数据 的 一 部 分 存储 在 磁盘 上 。VMEK 还 通过 一 个 或 多 个 密 钥 保护 器 加 
密 (或 保护 )。 默认 的 密 钥 保护 器 是 TPM, 但 是 可 以 配置 其 他 保护 器 , 例如 PIN 和 USB 局 动 密 钥 。 如果 设 备 没 有 TPM ， 
可 以 配置 BitLocker， 在 USB 驱动 器 上 存储 密 钥 保护 器 。 

有 关 BitLocker 的 更 多 信息 ， 请 访问 以 下 链接 : 

https//docs.microsoft.com/en-us/windows/device-security/BitLocker/BitLocker-overview 

BitLocker 默认 情况 下 使 用 AES 算法 进行 128 位 密 钥 加 密 。 可 使 用 Group Policy 修改 此 设置 ， 例 如 ， 配 置 使 用 
256 位 密 钥 。BitLocker 分 别 对 每 个 知 届 区 进行 加 密 ， 部 分 加 密 密 钥 来 自 届 区 编号 。 因 此， 即使 两 个 而 区 有 相同 的 未 
加 密 数 据 ， 但 每 个 扇 区 都 有 不 同 的 加 密 数 据 。Group Policy 管理 编辑 器 中 的 设置 如 图 8.6 所 示 。 


BitLocker Drive Encryption 9 5ettingls 


| 


Setting 
Fixed Data Drives 
J Operating System Drives 
了 ] Removable Data Drives 
(EE) Store BitLocker recovery information in Actrve Directory Domain Services (Windows Server 2008 and Windows Vistal] 
(EE Choose default folder for recovery password 
El Choose how users can recover BitLocker-protected drrves (Windows Server 2008 and Windows Vistal 
(EE) Choose drive encryption method and cipher strength (Windows & Windows Server 2012 Windows 8.1, Windows Server 2012 Ra Windows 10 [Vers 


EE Choose drnve encryption method and cipher strength (Windows 10 [Version 1511] and later) 

El Choose drnve encryption method and cipher strength (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2) 
局 Provide the unique identifiers for your organization 

局 | Prevent memory ovenwrite on restart 


(El Valdate smart card certificate usage rule compliance 


8.6 ”Group Policy 管理 编辑 器 中 配置 的 驱动 器 加 窗 过 程 


8.6 ”传输 数据 的 保护 


传输 数据 包括 客户 机 和 服务 器 在 通信 过 程 中 传输 的 所 有 信息 。 传输 数 据 可 能 只 限于 局 部 区 域 网络 、 组织 总 
部 和 分 支 机 构 之 间 的 网 络 ， 甚 至 组 织 和 互联 网 之 间 的 网 络 。 如 果 没 有 得 到 很 好 保护 ， 所 有 这 些 不 同类 型 的 网 络 
通信 部 会 提供 各 种 攻击 的 机 会 。 了 解 在 传输 过 程 中 保护 数据 的 技术 ,将 能 成 功 地 规划 和 部 普 网 络 通信 的 安全 性 。 
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8.6.1 具有 高 级 安全 性 的 Windows 防火 墙 


具有 Advanced Security 的 Windows 防火 墙 是 在 Windows Server 2008 中 引入 的 ， 在 较 新 的 操作 系统 中 仍 存 在 。 
它 为 组 织 提供 了 管理 在 客户 机 和 服务 器 操作 系统 上 使 用 的 咒 口 和 协议 的 能 力 。 尽 管 许 多 网 络 管理 员 只 剖 欢 使 用 硬件 
防火 墙 ， 但 根据 最 小 化 攻击 和 面 的 原则 ， 从 来 不 建议 关闭 Windows 防火 墙 。 
具有 Advanced Security 的 Windows 防火 墙 使 用 由 设置 、 防 火 墙 规则 和 连接 安全 规则 组 成 的 防火 填 配 置 文 件 ， 
这 些 规 则 适用 于 同一 安全 级 别 的 相关 网 络 。 在 Windows 防火 墙 管理 控制 台 上 有 三 种 网 络 配 置 文件 : 
倒 ” 域 网 络 。 表 示 工 作 场 所 中 连接 到 域 的 网 络 ， 这 意味 看 它们 与 域 控 制 器 通信 。 
令 ”私人 网 络 。 代 表 可 信 的 非 域 网 络 ， 如 与 公司 合作 的 商业 伙伴 配置 的 网 络 连 接 。 
仿 ”客户 或 公共 网 络 。 代 表 公 共 场 所 的 网 络 ， 比 前 两 个 更 不 安全 。 
每 个 网 络 位 置 都 有 以 下 信息 : 
Windows 防火 墙 状态 。 指 Windows 防火 墙 是 打开 还 是 关闭 。 
入 站 连接 。 提 供 了 对 入 站 连接 (如 Allow 或 Block 连接 ) 执 行 的 操作 的 状态 。 
出 站 连接 。 提 供 了 对 出 站 连接 (如 Allow 或 Block 连接 ) 执 行 的 操作 的 状态 。 
保护 网 络 连接 。 指 定 将 应 用 设置 的 网 络 适 配器 。 
设置 。 指 定 了 控制 Windows 防火 墙 行为 的 设置 ， 如 使 用 Group Policy 配置 的 通知 和 合并 规则 。 
日 志 记 录 。 这 指定 日 志 的 名 称 、 大 小 以 及 要 记录 的 数据 。 
Windows Server 2016 允许 多 个 防火 墙 配置 文件 同时 在 服务 器 上 活动 。 例 如 ， 服 务 器 具有 两 个 网 络 适配器 ， 连 接 
到 内 部 网 络 和 外 围 网 络 ， 就 可 将 域 防火 墙 配 置 文 件 应 用 到 内 部 网 络 ， 将 公共 防火 墙 配置 文件 应 用 到 外 围 网 络 。 
市 有 Advanced Security 属性 窗口 的 Windows 防火 墙 如 图 8.7 所 示 。 


世 Windows Firewall with Advance Inbound Rules 
BE! Inbound Rules 


本 Qutbound Rules Name - Group prefile 
My Connection Security Rules @ Alloyn Router (TCP-In) Alleyn Router Domai,. Yes 


)， 大 | Monitoring @ AlUoyn Router (UDP-In] BILoyn Router Deomal... 
BranchCache Content Retrreval [HTTP=In) BranchCache = Content Retr,, 点 中 
HranchCache Hosted Cache Server (HTT... BranchCache- Hosted Cach... All 


信和 和 


BranchCache Peer Discowery (WSD-In) Branmchtache - Peer Discowe... ll 
B® Cast to Device functionality (qWave-TCP..， Castto Device functionality Prrwate-， Yes 
BB Cast to Device functionality (9Wawve-UDP... Castto Device functionality Private,, 

和 Cast to Device 55DP Discowen Y (UDP-In) Lastto Devee functionalry Publrc 

EB Cast to Device streaming server (HTTP-St,,,. Castto Device furnctionality Publie 

BD Cast to Device streaming server (HTTP-St.,,. Cast to Devicefunctionality Private 
Cast to Device streaming server (HTTP-t,,.. Castto Device functionality Demain E 
Lr Cast to Device streaming server (RICP-St,,,. Castto Device functionality 4 


图 8.7 带 有 Advanced Security 属性 窗口 的 Windows 防火 墙 
导航 窗 格 ( 左 窗 格 ) 为 防火 墙 规则 、 连 接 安 全 规则 和 监控 提供 了 更 细 粒 度 的 控制 。 在 导航 窗 格 中 选择 Windows 
Firewall with Advanced Security on Local Computer 对 象 时 ， 结 果 窗 格 将 显示 防火 墙 配置 的 概述 ， 并 提供 到 各 种 配置 
窗 格 和 对 话 框 的 链接 。 最 后 ，Actions 窗 格 ( 右 窗 格 ) 提 供 了 以 下 选项 : 
令 ”导入 策略 。 人 允许 使 用 以 新 导出 的 策略 履 盖 当前 设置 。 
令 ”导出 策略 。 人 允许 保存 当前 配置 。 
令 ”恢复 默认 策略 。 重 置 对 Windows 防火 墙 设置 所 做 的 任何 更 改 。 
令 诊断/ 维修。 局 动 网 络 和 Internet 故障 排除 问 导 。 
属性 对 话 框 中 的 最 后 一 个 选项 卡 是 IPsec Settings。 这 个 选项 卡 允 许 为 IPsec 配置 指定 目 定 义 值 。 
与 其 他 网 络 防 火 墙 技术 一 样 ， 具 有 Advanced Security 的 Windows 防火 墙 将 规则 作为 标准 集合 ， 来 定义 允许 、 
阻止 或 使 用 防火 墙 进行 安全 保护 的 IP 地 址 、 端 口 和 协议 ， 如 图 8.8 所 示 。 
倒 ”入 站 和 出 站 规则 明确 根据 规则 中 的 标准 ， 人 允许 或 阻止 流量 通过 。 例如 ， 可 以 配置 一 条 规则 ， 如 果 HTTP 流 
量 来 目 内 部 网 络 ， 束 允许 它 通 过 防火 场 ， 但 如 果 流 量 来 目 Internet， 则 阻塞 它 。 
令 ”对 于 Windows Server 角色 和 功能 , 未 必需 要 创建 规则 。 例如 , 局 用 Microsoft Internet Information Services (IIS) 
可 目 动 调整 Windows 防火 场 ， 以 允许 适当 的 流量 通过 。 可 更 改 默认 操作 ， 以 允许 或 阻止 所 有 连接 ， 而 不 
考虑 任何 规则 。 
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办 New Inbound Rule Wizard 


Rule Type 
Solect the bpe of firewal rule to create. 


What type of rule would you ke to creale? 


I 


Program 
Rule that conirols connections for a program 


门 Port 
Rule that conirols connections for a TCP or UDP port 
门 Predefined: 
MJoyn Router 
Rule that conirols connections for a Windows epenense. 
Cusiom nile. 


图 8.8 配置 规则 


1. 入 站 和 出 站 规则 类 型 
存在 以 下 几 种 入 站 和 出 站 规则 ; 


4 


程序 规则 。 这 些 规则 可 以 控制 程序 的 连接 ， 而 不 管 它 使 用 的 端口 号 是 什么 。 使 用 这 种 防火 墙 规则 ， 基 于 正 
在 尝试 连接 的 程序 确定 是 否 建立 连接 。 当 不 确定 端口 或 其 他 必需 的 设置 时 ， 这些 规则 非常 有 用 ， 因 为 只 指 
定 程 序 可 执行 文件 (exe 文件 ) 的 路 径 。 

剖 品 规则。 这些 规则 可 控制 TCP 或 UDP 并口 的 连接 ， 而 不 考虑 应 用 程序 。 使 用 这 种 防火 墙 规则 ， 人 允许 基 
于 TCP 或 UDP 妆 口 号 进行 连接 (计算 机 正 试图 通过 相应 的 端口 号 进行 连接 )。 该 规则 需要 指定 协议 和 单个 
或 多 个 本 地 端口 。 

预定 义 的 规则 。 这 些 规 则 可 控制 Windows 组 件 的 连接 一 一 例如 ， 文 件 、 打 印 共享 或 Active Directory 域 服 
务 。 使 用 这 种 防火 墙 规则 ， 通 过 从 列表 中 选择 一 个 服务 来 允许 连接 。 这 类 Windows 组 件 通 稼 会 在 设置 或 
配置 期 间 ， 目 动 将 自己 的 条 目 添加 到 这 个 列表 中 。 可 局 用 和 共用 一 个 或 多 个 规则 (作为 一 个 组 )。 

目 定 义 规 则 。 这 些 规 则 可 以 是 其 他 规则 类 型 (如 问 口 规则 和 程序 规则 ) 的 组 合 。 

连接 安全 规则 。 这 些 规 则 有 助 于 使 用 IPsec 保护 网 络 流量 。 使 用 连接 安全 规则 指定 两 个 计算 机 之 间 必 须 通 
过 喘 份 验证 或 加 密 建 立 连接 。 在 图 8.9 中 ， 可 以 看 到 连接 安全 规则 是 如 何 配置 的 。 


Windows 防火 墙 使 用 监控 界面 显示 当前 防火 墙 规 则 、 连 接 安 全 规则 和 安全 协会 (SA) 的 信息 。 


训 New Connection Security Rule Wizard 
Rule Type 
Select the bype of connection securty rule to create. 


What type of connection securty rule would you lie to create? 
‘年 ) lsolalion 
Pesitnict conneciions based on authenlication cteria, such as domain membership or 
人 ) Puthenticaltion exemption 
De nat auihenticate connections from the specified compuhers， 
0 Serverito server 
Authventicate connecion between the speciied computers. 


[Tunnel 
e comneciions batheen two computers 


图 8.9 配置 连接 安全 规则 
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2. 额外 的 配置 选项 

可 在 每 台 计 算 机 上 分 别 配 置 Windows 防火 墙 的 设置 ， 或 在 Group Policy 管理 控制 台中 访问 以 下 位 置 ， 

Computer Contieurationm\Policies\Windows Settings\Security Settinges\Windows Firewall with Advanced Security 

可 以 使 用 NetSecurity 模块 中 的 Windows PowerShell cmdlet 来 局 用 和 配置 Windows 防火 墙 。 表 8.2 描述 了 这 些 


cmdlet。 
表 8.2 Windows PowerShell cmdlet 
Windows PowerShell cmdlet 说 明 
New-NetFirewallRule 创建 一 个 新 的 入 站 或 出 站 防火 墙 规则 ， 并 添加 到 目标 计算 机 
Enable-NetFirewallRule 允许 使 用 以 前 禁用 的 网 络 防火 墙 规则 
Show-NetFirewallRule 显示 策略 存储 中 所 有 现 有 的 防火 墙 规 则 和 关联 对 象 
Get-Help *Net* 列 出 名 称 中 包含 Net 的 所 有 cmdlet。 这 将 返回 所 有 的 Windows 防火 墙 cmdlet 


8.6.2 |Psec 


IPsec 是 一 组 协议 ， 通 过 提供 身份 验证 、 完 整 性 检查 和 加 密 ， 可 以 帮助 保护 通过 网 络 传输 的 数据 。IPsec 是 一 组 
行业 标准 、 基 于 加 密 的 保护 服务 和 协议 。 

它 最 初 的 目的 是 保护 公共 网 络 上 的 通信 安全 ， 但 是 许多 组 织 选择 实现 IPsec， 来 消除 其 私有 网 络 中 容易 被 利用 

如 果 正 确 地 实现 IPsec，IPsec 会 提供 一 个 私有 通道 ， 用 于 发 送 和 交换 可 能 敏感 或 脆弱 的 数据 ， 通 过 网 络 进行 通 
信和 的 应 用 程序 不 知道 IPsec， 因 为 只 有 端点 负责 执行 身份 验证 和 加 密 / 解 密 过 程 。 

IPsec 具有 以 下 特点 : 

令 ”提供 了 通信 之 前 和 通信 期 间 的 相互 号 份 验证 。 

令 ”迫使 双方 在 沟通 过 程 中 标识 自身 。 

仿 ” 文 持 通过 卫 传输 加 密 和 数字 数据 包 号 份 验证 来 保密 。 


1. 何 时 使 用 IPsec 

有 些 网 络 环境 非常 适合 将 IPsec 作为 一 种 安全 解决 方案 ， 而 另 一 些 则 不 然 。 建 议 在 以 下 场景 中 使 用 IPsec: 

令 ”保护 特定 路 径 上 主机 到 主机 的 流量 。 可 使 用 IPsec 为 服务 器 之 间 的 通信 提供 保护 。 例 如 ，IPsec 可 以 在 需要 
最 大 安全 性 的 网 络 中 保护 计算 机 之 间 的 通信 。 

令 ”保护 到 服务 器 的 流量 。 可 以 为 访问 服务 器 的 所 有 客户 机 要 求 IPsec 保护 。 另 外 ， 可 以 设置 限制 ， 指 定 哪 些 
计算 机 可 以 连接 到 运行 Windows Server 2016 的 服务 器 。 

令 给 VPN 连接 使 用 L2TP/IPsec。 对 于 所 有 VPN 场景 , 可 以 使 用 第 2 层 隧道 协议 (L2TP) 和 IPsec (L2TP/IPsec) 
的 组 合 。 

令 ”站 点 到 站 点 (网 关 到 网 关 ) 通 道 。 当 需 要 与 第 三 方 路 由 器 ( 即 网 关 ) 交 互 式 操 作 时 , 可 通过 通道 模式 使 用 IPsec。 
这 种 情况 下 ， 每 个 站 点 中 的 计算 机 都 不 知道 I Psec， 因 为 网 关 执行 身份 验证 、 数 据 的 加 密 和 解密 。 

争 ” 执行 逻辑 网 络 (服务 器 / 域 隔离 )。 在 基于 Windows 的 网 络 中 ， 逻 辑 上 可 将 服务 器 和 域 资 源 隔 离开 ， 这 将 限 
制 对 经 过 身份 验证 和 授权 的 计算 机 的 访问 。 

令 ”IPsec 取决 于 建立 安全 连接 的 卫 地 址 ， 所 以 不 能 指定 动态 卫 地 址 。 


2. IPsec 模式 

可 在 两 种 模式 之 一 中 配置 IPsec， 如 图 8.10 所 示 。 

9 。 传输 模式 。 在 两 台 主机 之 间 启 用 端 到 端 通信 时 ， 可 使 用 传输 模式 。 在 这 种 模式 (默认 模式 ) 下 ， 数 据 有 效 负 
载 被 加 密 ， 但 标题 数据 保持 不 变 。 

9 。 通道 模式 。 在 这 种 模式 下 ， 对 整个 原始 数据 包 进 行 加 密 ， 成 为 新 数据 包 的 有 效 负 载 ， 然 后 在 支持 IPsec 的 
路 由 器 之 间 传 输 。 通 道 模式 允许 支持 IPsec 的 路 由 器 封装 和 加 密 来 自 不 支持 IPsec 的 主机 的 网 络 流量 ， 通 
过 不 安全 的 网 络 传输 该 流量 ， 然 后 将 其 解密 ， 在 目标 网 络 上 供 不 支 持 IPsec 的 其 他 主机 使 用 。 
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图 8.10 IPsec 中 的 传输 和 通道 模式 


3. 连接 安全 规则 的 设置 

可 使 用 连接 安全 规则 在 具有 Advanced Security 的 Windows 防火 墙 中 配置 IPsec。 通 过 这 些 连接 安全 规则 ， 可 将 
IPsec 规则 与 Windows 防火 墙 网 络 配置 文件 相关 联 。 结 合 IPsec 和 Windows 防火 墙 的 优点 是 ， 可 以 避免 重 登 可 能 冲 
突 的 规则 和 策略 ， 还 可 简化 保护 计算 机 免 受 未 经 授权 访问 的 过 程 。 

可 配置 的 连接 安全 规则 包括 : 


S 
S 


会 
合 


S 


隅 离 。 隔 离 规则 根据 凭证 (如 域 成 员 资 格 或 健康 状态 ) 限 制 计 算 机 的 连接 ， 来 隔离 计算 机 。 

验证 窒 免 。 可 使 用 身份 验证 葵 免 来 指定 不 需要 上 身份 验证 的 连接 。 可 以 通过 特定 的 耳 地 址 、IP 地 址 范围 、 
子 网 或 预定 义 组 (如 网 关 ) 来 指定 计算 机 。 

服务 器 到 服务 器 。 服 务 器 到 服务 器 规则 有 助 于 保护 特定 计算 机 之 间 的 连接 。 

通道 。 通 道 规则 有 助 于 保护 网 夫 计算 机 之 间 的 连接 。 当 通过 互联 网 在 两 个 安全 网 关 之 间 连接 时 , 一 般 使 用 
通道 规则 。 必 须 指定 作为 通道 问 点 的 他 地址 ， 然 后 指定 要 使 用 的 号 份 验证 方法 。 

目 定 义 。 当 无 法 使 用 New Connection Security Rule 同 导 中 可 用 的 其 他 规则 来 设置 必要 的 号 份 验证 规则 时 ， 
可 使 用 目 定 义 规则 对 两 个 端点 之 间 的 连接 进行 身份 验证 。 


在 月 用 和 配置 连接 安全 规则 时 ， 必 须 定义 以 下 属性 ; 


S 


4 


S 


S 
S 


需求 。 可 以 选择 规则 是 请 求 入 站 连接 和 出 站 连接 的 身份 验证 , 需要 入 站 连接 的 身份 验证 和 请 求 出 站 连接 的 
身份 验证 ， 以 及 同时 需要 入 站 连接 和 出 站 连接 的 身份 验证 。 

身份 验证 方法 。 可 以 选择 几 种 身份 验证 方法 。New Connection Security Rule 回 导 中 的 选项 如 下 : 

4 默认 。 使 用 IPsec 设置 中 指定 的 身份 验证 方法 。 

* 计算 机 和 用 户 (Kerberos V5)。 将 通信 限制 为 来 自 加 入 域 的 用 户 和 计算 机 的 连接 。 

4 计算 机 (Kerberos V5)。 限 制 来 自 加 入 域 的 计算 机 的 通信 。 

9 高 级 。 将 自 定义 身份 验证 方法 指定 为 第 一 和 第 二 身份 验证 方法 。 

配置 文件 。 可 将 规则 与 适当 的 网 络 配置 文件 相关 联 。 可 以 选择 下 面 的 一 个 或 多 个 : 域 配置 文件 、 私 有 配置 
文件 或 公共 配置 文件 。 

免除 计算 机 。 对 于 身份 验证 蕉 免 规 则 ， 可 通过 指定 蔡 免 计算 机 的 IP 地 址 、IP 地 址 范围 或 IP 子 网 ， 来 定义 
苍 免 的 计算 机 。 

端点 。 对 于 服务 器 到 服务 器 的 规则 ， 可 以 定义 受 规则 影响 的 卫 地 址 。 

通道 端点 。 仅 对 于 通道 规则 ， 可 以 定义 受 规则 影响 的 通道 端点 。 


在 通过 New Connection Security Rule 回 导 创建 新 的 连接 安全 规则 时 ,就 在 Requirements 和 Authentication Method 
页 面 上 配置 规则 的 主要 选项 。 
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需求 页 面 

在 “需求 ”页 面 上 ， 可 以 使 用 下 面 的 选项 来 配置 何 时 进行 身份 验证 : 

令 ”请 求 入 站 连接 和 出 站 连接 的 喘 份 验证 。 选 择 此 选项 意味 着 ,计算 机 将 尽 可 能 进行 喘 份 验证 , 但 喘 份 验证 不 
是 必需 的 。 

急需 要 入 站 连接 的 身份 验证 ,请求 出 站 连接 的 号 份 验证 。 选 择 此 选项 将 强制 所 有 试图 连接 到 计算 机 的 客户 站 
进行 身份 验证 ， 但 允许 计算 机 在 不 进行 身份 验证 的 情况 下 进行 连接 。 

令 ”同时 需要 入 站 和 出 站 连接 的 身份 验证 。 这 是 最 安全 的 选项 ， 因 为 所 有 连接 都 必须 进行 身份 验证 。 


身份 验证 万 法 

计算 机 证 书 : 该 方法 请 求 或 要 求 使 用 有 效 的 计算 机 证 书 进行 身份 验证 ; 必须 至 少 有 一 个 证 书 颁发 机 构 (CA) 才 能 
这 样 做 。 如 果 计 算 机 不 属于 同一 个 AD DS 域 ， 可 使 用 此 方法 。 

只 接受 健康 证 书 : 此 方法 请 求 或 要 求 使 用 有 效 的 健康 证 书 进行 身份 验证 。 健 康 证 书 声明 ， 计 算 机 满足 系统 健康 
要 求 ， 例 如 所 有 软件 和 其 他 更 新 包 满 足 网 络 访问 要 求 。 

高 级 选项 : 如 果 选 择 此 选项 ， 可 以 配置 任何 可 用 的 方法 ， 并 为 第 一 种 身份 验证 和 第 二 种 身份 验证 指定 方法 。 以 
下 部 分 详细 介绍 了 可 用 的 身份 验证 方法 。 

在 建立 IPsec 连接 时 ， 计 算 机 总 是 使 用 第 一 种 身份 验证 方法 。 可 以 指定 多 种 身份 验证 方法 ， 计 算 机 将 按照 指定 
的 顺序 符 试 映 份 验证 方法 ， 直 到 号 份 验证 成 功 。 这 里 列 出 了 第 一 种 身份 验证 方法 的 可 用 选项 : 

令 ”计算 机 (Kerberos V5)。 此 和 号 份 验证 方法 请 求 或 要 求 计算 机 使 用 Kerberos V5 号 份 验证 协议 进行 身份 验证 。 

只 有 当 两 台 计 算 机 都 是 域 成 员 时 ， 才 能 使 用 Kerberos V5 身份 验证 协议 。 

分 ”计算 机 (NTLMV2)。 这 种 身份 验证 方法 使 用 Microsoft 质询 / 啊 应 身份 验证 协议 。 两 全 计算 机 都 必须 是 域 成 员 。 

令 来自 证 书 颁 发 机 构 (CA) 的 计算 机 证 书 。 这 与 前 面 “ 计 算 机 证 书 ” 一 段 所 摘 述 的 方法 相同 ， 只 是 增加 了 一 
个 要 求 。 如 果 使 用 此 方法 , 可 以 选择 Enable Certificate To Account Mapping 复 选 框 。 这 将 从 计算 机 的 AD DS 
中 检索 访问 令 牌 。 这 包括 分 配给 计算 机 的 用 户 权 限 列表 ; 它 允 许 根 据 需 要 ， 使 用 Group Policy 安全 设置 ， 
把 Access This Computer From The Network 用 户 权 限 或 Deny Access To This Computer From The Network 用 
户 权 限 赋予 单 台 或 多 台 计 算 机 ， 来 控制 访问 。 

争 ” 预 共享 密 钥 。 此 方法 允许 指定 明文 密 钥 。 每 台 计 算 机 必须 配置 相同 的 密 钥 。 如 果 使 用 预 共享 密 钥 方法 ， 则 
无 法 配置 第 二 种 身份 验证 方法 。 
第 二 种 身份 验证 方法 : 可 使 用 第 二 种 身份 验证 方法 验证 用 户 。 还 可 以 选择 Computer Health Certificate From The 
Certification Authority(CA) 作 为 第 二 种 认证 方法 。 如 果 为 第 一 个 刁 份 验证 方法 选择 了 预 共 享 密 铜 ， 就 不 能 使 用 任何 第 
二 种 身份 验证 方法 。 无 论 第 一 个 身份 验证 方法 是 什么 ， 痢 不 能 为 第 二 种 身份 验证 方法 选择 预 共享 密 钥 。 第 二 种 身份 
验证 方法 的 选项 如 下 : 
令 ”用 户 (Kerberos VS)。 这 种 身份 验证 方法 请 求 或 要 求 用 户 使 用 Kerberos V5 号 份 验证 协议 进行 喘 份 验证 。 只 
有 当 用 户 是 域 成 员 时 ， 才 能 使 用 Kerberos V5 号 份 验证 协议 。 

争 ” 用 户 (NTLMYV2)。 这 种 身份 验证 方法 使 用 Microsoft 质询 / 啊 应 身份 验证 协议 。 只 有 当 用 户 是 域 成 员 时 ， 才 
能 使 用 此 身份 验证 协议 。 

令 ”来 目 证 书 颁发 机 构 (CA) 的 用 户 证 书 。 此 号 份 验 证 方法 请 求 或 要 求 使 用 有 效 的 用 户 证 书 进行 导 份 验证 ， 并 
有 是 必须 至 少 有 一 个 CA 才能 进行 身份 验证 。 此 方法 支持 Enable Certificate To Account Mapping 选项 ， 该 选 
项 基于 映射 的 账户 为 用 户 生成 访问 令 牌 。 

令 ”来 目 证 书 颁发 机 构 (CA) 的 计算 机 健康 证 书 。 这 种 身份 验证 方法 使 用 计算 机 健康 证 书 , 文 持 Enable Certificate 
To Account Mapping 选项 。 

根据 环境 和 目标 ， 有 多 种 配置 IPsec 的 方法 。 最 终 ，IPsec 将 配置 和 部 署 为 策略 。 作 为 域 成 员 的 计算 机 可 以 通过 
GPO 配置 IPsec。 通 过 GPO， 可 以 配置 IPsec 策略 和 Windows Firewall with Advanced Security 连接 安全 规则 。 域 和 
非 域 成 员 可 以 使 用 Windows Firewall with Advanced Security 管理 控制 人 台 的 Windows 防火 墙 ， 在 本 地 配置 IPsec。 此 
外 ， 可 以 使 用 Windows PowerShell 编写 创建 IPsec 规则 的 脚本 。 

IPsec 默认 设置 在 Windows Firewall with Advanced Security on Local Computer Properties 对 话 框 的 IPsec Settings 
选项 卡 上 。 单 击 Customize， 以 配置 希望 IPsec 使 用 的 方法 : 


人 
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密 钥 交换 ( 主 模 式 )。 这 将 设置 会 话 。 
数据 保护 (快速 模式 )。 这 将 加 密 网 络 流量 。 
身份 验证 方法 。 这 将 验证 计算 机 号 份 。 


4. IPsec 配置 
配置 IPsec 有 多 种 方法 。 可 以 使 用 GPO、 防 火 墙 规则 或 Windows PowerShell。 


使 用 GPO 

使 用 GPO 配置 IPsec 策略 时 ， 在 Computer Confieuratiom\Policies\Windows Settings\Security Settings\IP Security 
Policies on Active Directory (Domain) 节 点 上 定义 IPsec 设置 。 尽 党 可 以 使 用 GPO 为 不 同 的 计算 机 组 分 配 不 同 的 策略 ， 
但 对 于 所 有 IPsec 策略 ， 只 有 一 个 存储 库 。 有 三 个 预定 义 的 IPsec 策略 ， 但 没有 一 个 被 分 配 。 所 有 GPO 都 会 显示 所 
有 已 定义 的 IPsec 规则 , 在 GPO 中 , 分 配 希 望 GPO 应 用 的 IPsec 规则 。 每 个 GPO 都 可 以 独立 于 其 他 GPO 分 配 IPsec 
策略 。 但 是 ， 只 能 在 单个 GPO 中 分 配 一 个 IPsec 策略 。 此 外 ， 客 户 凯 一 次 只 能 应 用 一 个 IPsec 策略 。 这 里 列 出 三 个 
预定 义 策略 : 


他 
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客户 ( 仅 回 应 )。 该 策略 配置 计算 机 在 需要 时 协商 安全 性 和 刁 份 验证 方法 。 在 策略 中 ， 可 以 定义 允许 的 安全 
和 号 份 验证 方法 。 

服务 器 (请 求 安全 )。 该 策略 使 用 Kerberos V5 身份 验证 协议 对 所 有 人 P 通信 进行 配置 ， 使 计算 机 始终 请 求 安 
全 性 ， 并 且 人 允许 不 安全 的 通信 。 

安全 服务 器 (需要 安全 性 )。 此 策略 将 计算 机 配置 为 始终 需要 对 所 有 卫 通信 进行 安全 连接 , 并 阻止 不 受信 任 
的 计算 机 。 默 认 情 况 下 ， 该 规则 只 使 用 Kerberos Vs 吴 份 验证 协议 。 


可 创建 目 己 的 IPsec 策略 。 这 里 列 出 在 创建 目 己 的 IPsec 策略 时 可 使 用 的 一 些 选项 : 


全 


IP 过 滤 列 表 。 人 允许 定义 以 下 内 容 : 

4 IP 流量 来 源 。 选 项 包括 任何 卫 地 址 、 我 的 卫 地 址 、 特 定 的 DNS 名 称 、 特 定 的 他 地址 或 子 网 等 。 

* IP 流量 的 目的 地 。 选 项 包括 任何 IP 地 址 、 我 的 IP 地 址 、 特 定 的 DNS 名 称 、 特 定 的 耳 地 址 或 子 网 等 。 

* IP 协议 类 型 。 选 项 包括 Any、ICMP、TCP、UDP、Other 等 。 

* IP 协议 端口 。 如 果 将 卫 协议 类 型 定义 为 TCP 或 UDP， 可 以 指定 源 端口 和 目标 端口 。 

过 滤 操 作 。 人 允许 定义 : 

4 过 滤器 操作 常规 选项 。 指 定 允 许 、 阻 止 或 协商 安全 性 的 过 滤器 。 

* 与 不 支持 IPsec 的 计算 机 通信 。 此 选项 仅 在 操作 是 Negotiate Security 时 可 用 。 当 党 试 与 不 支持 安全 连 
接 的 计算 机 进行 通信 时 ， 可 以 使 用 此 选项 来 定义 要 执行 的 操作 。 


使 用 防火 墙 规则 

使 用 防火 墙 规则 来 定义 IPsec 比 使 用 GPO 具有 更 细 的 粒度 。 痛 先 ， 必须 创建 一 个 连接 安全 规则 来 定义 号 份 验证 
方法 。 在 配置 了 连接 安全 规则 之 后 ， 可 以 配置 入 站 规则 和 出 站 规则 ， 以 局 用 Allow The Connection If It Is Secure 选 
项 。 有 些 规则 (如 ICMPv4 规则 ) 不 文 持 此 选项 。 如 果 选 择 在 入 站 或 出 站 规则 上 要 求 安全 ， 可 以 使 用 以 下 策略 : 


全 
S 
S 
S 


如 采 对 连接 进行 验证 ， 并 保护 其 完整 性 ， 了 吏 允许 连 接 。 此 策略 不 需要 加 密 。 

需要 加 密 的 连接 。 这 个 策略 需要 加 密 所 有 连接 。 如 果 选 择 Allow The Computer To Dynamically Negotiate 
Encryption 复 选 框 ， 则 可 在 安全 协商 期 间 使 用 未 加 密 的 流量 。 

允许 连接 使 用 null 封装 。 此 策略 要 求 刁 份 验证 ， 但 不 提供 完整 性 或 隐私 保护 。 

上 履 帝 其 规则 。 这 个 复 选 框 允 许 指定 不 需要 验证 或 加 密 即 可 连接 的 计算 机 一 一 例如 ， 运 行 远程 管理 工具 
的 服务 器 。 


当 使 用 防火 墙 规则 配置 IPsec 加 蜜 时 ， 和 总 是 使 用 两 个 系统 之 间 的 协商 来 找到 两 个 系统 都 支持 的 最 安全 加 密 


方法 。 


使 用 Windows PowerShell 管理 Windows 防火 墙 
可 以 使 用 以 下 命令 来 管理 Windows 防火 墙 。 
要 启用 防火 墙 ， 在 Windows PowerShell 命令 提示 符 下 输入 以 下 命令 ， 然 后 按 Enter。 


Set—NetFirewallProfile -Profile Domain, Public,Private 一 EnablLedq True 
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要 创建 防火 墙 规则 ， 在 Windows PowerShell 命令 提示 竺 下 输入 以 下 命令 ， 然 后 按 Enter。 


New—NetFirewallRule -DisplayName "Allow Inbound Telnet™" -Direction Inbound 
-Program SSystemRoot®\System32\tlntsvr.exe ~—RemoteAddress LocalSubnet -Action 
Allow 


要 修改 现 有 规则 ， 在 Windows PowerShell 命令 提示 符 下 输入 以 下 命令 ， 然 后 按 Enter。 
Set—NetFirewallRule -DisplayName "Allow Web 80"™" ~RemoteAddress 192.168.0.2 
要 删除 现 有 规则 ， 在 Windows PowerShell 命令 提示 和 从 下 输入 以 下 命令 ， 然 后 按 Enter。 
Remove—NetFirewallRule -DisplayName "Allow Web 80" 
从 逻辑 上 讲 , 隔离 区 将 网 络 分 隔 为 可 以 相互 验证 的 计算 机 和 无 法 验证 的 计算 机 。 IPsec 是 这 些 网 络 隔离 区 域 的 基 
， 加 使 用 Windows Firewall with Advanced Security 连接 安全 规则 实现 这 些 隔 离 区 域 。 
要 创建 独立 的 网 络 ， 必 须根 据 希 望 这 些 计 算 机 具有 的 访问 权限 ， 将 组 织 网 络 中 各 种 类 型 的 计算 机 分 开 。 
下 列 因 系 适 用 于 隔离 网 络 : 
令 ”隔离 网 络 中 的 计算 机 可 以 辐 任 何 计算 机 发 起 通信 ， 不 考虑 它们 是 否 被 隔离 。 
令 不 在 隔离 网 络 中 的 计算 机 : 
* 可 回 不 在 隔离 网 络 中 的 计算 机 发 起 通信 。 
* 不 能 回 隔离 网 络 中 的 计算 机 发 起 通信 。 
一 定 要 记 住 ， 隔 离 网 络 中 的 计算 机 会 忽略 ， 从 非 隔 离 网 络 的 计算 机 发 起 的 所 有 请 求 。Windows Server 2016 文 持 
两 种 类 型 的 隔离 : 域 隔 离 和 服务 器 隔离 。 

可 通过 IP Security Monitor 管理 单元 来 监视 IPsec， 或 者 通过 Windows Firewall with Advanced Security 管理 控制 
台中 的 Monitoring 节点 来 监视 IPsec。IP Security Monitor 显示 了 与 本 地 或 通过 GPO 应 用 的 IPsec 策略 相关 的 其 他 详 
细 信 息 。Windows Firewall with Advanced Security 管理 控制 台中 的 Monitoring 节点 不 显示 与 策略 相关 的 信息 。 

在 使 用 Windows Firewall with Advanced Security 管理 控制 台 监 视 配 置 的 IPsec 时 ， 可 查看 的 两 个 顶级 节点 是 
Connection Security Rules 和 Security Associations。 在 Security Associations 节点 中 ， 有 用 于 主 模式 监视 和 快速 模式 监 
视 的 节点 。 其 中 的 每 个 节点 都 显示 相关 配置 项 的 详细 信息 。 
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5. 监控 IPsec 
为 确保 IPsec 正常 工作 ， 应 该 监视 IPsec 是 如 何 工 作 的 。 因 此 ， 可 使 用 IP Security Monitor 管理 单元 ， 其 中 可 以 
使 用 两 个 视图 : 主 模式 (Main Mode) 和 快速 模式 (Quick Mode)。 
主 模式 
主 模式 (或 第 一 阶段 的 IE 协商 ) 在 两 个 系统 之 间 建 立 一 个 安全 通道 ， 称 为 ISAKMP SA。ISAKMP SA 保护 建立 
快速 模式 连接 的 对 等 计算 机 之 间 的 密 钥 交换 。 在 建立 安全 通道 时 ， 主 模式 协商 确定 两 个 系统 都 使 用 的 一 组 公共 密码 
套件 ， 建 立 系统 将 使 用 的 共享 密 钥 ， 并 验证 计算 机 的 身份 。 
0 Main Mode SA 提供 当前 连接 到 计算 机 的 对 等 方 的 信息 ， 包 括 : 
本 地 地 址 。 这 是 当前 监视 的 计算 机 的 他 地 址 。 
远程 地 址 。 这 是 远程 计算 机 的 IP 地 址 。 
第 一 种 身份 验证 方法 。 这 是 系统 用 于 建立 其 标识 的 身份 验证 方法 。 
第 二 种 身份 验证 方法 。 如 果 配 置 了 一 种 辅助 方法 ， 这 将 显示 系统 使 用 的 第 二 种 方法 。 
加 密 。 这 显示 了 系统 用 来 加 密会 话 的 密码 算法 。 
完整 性 。 这 显示 了 系统 用 来 确保 会 话 没有 发 生 算 改 的 哈 希 函数 。 
密 钥 交换 。 这 显示 了 系统 用 来 交换 安全 密 钥 的 方法 。 


快速 模式 IKE 协商 建立 两 个 系统 之 间 的 安全 通道 ， 有 助 于 保护 传输 过 程 中 的 数据 。 快 速 模式 IKE 在 此 阶段 协商 
的 SA 是 用 于 IPsec 服务 的 IPsec SA。 快 速 模式 可 使 用 现 有 的 密 钥 内 容 或 根据 需要 生成 新 密 钥 。 在 此 协商 过 程 中 ， 
Quick Mode IKE 选择 一 个 通用 的 保护 性 套件 ， 用 于 应 用 此 规则 的 他 通信 。 

Monitoring Quick Mode SA 可 提供 有 关 当 前 与 计算 机 连接 的 对 等 方 的 信息 ， 它 们 显示 的 信息 包括 : 
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本 地 地 址 。 被 监视 计算 机 的 下 地 址 。 

远程 地 址 。 远 程 计算 机 的 IP 地 址 。 

本 地 端口 。 此 会 话 中 的 流量 可 使 用 的 本 地 端口 。 

远程 端口 。 此 会 话 中 的 通信 可 使 用 的 远程 端口 。 

协议 。 本 会 话 中 的 协议 。 

AH 完整 性 。 对 等 通信 使 用 的 特定 于 AH 协议 的 数据 完整 性 方法 。 
ESP 完整 性 。 对 等 通信 使 用 的 特定 于 ESP 协议 的 数据 完整 性 方法 。 
ESP 加 密 。 对 等 通信 使 用 的 特定 于 ESP 协议 的 加 密 方 法 。 


8.7 ”保护 管理 访问 


在 许多 攻击 场景 中 ， 管 理 员 身 份 是 攻击 者 最 想得到 的 ， 因 为 可 借 此 访问 企业 管理 员 和 域 管理 员 账 户 。 攻 击 者 可 
能 试图 访问 管理 员 的 用 户 名 、 密 码 ， 甚 至 工作 站 或 笔记 本 电脑 。 因 此 ， 和 党 理 员 必须 敏锐 地 意识 到 ， 他 们 在 组 织 的 安 
全 中 扮演 着 最 重要 的 角色 之 一 。 学 习 和 运用 以 下 一 些 技术 ， 可 进一步 增强 攒 证 的 安全 性 。 


8.7.1 特权 访问 工作 站 


降低 攻击 管理 员 凭 证 风险 的 一 种 方法 是 使 用 特权 访问 工作 站 (PAW) 一 一 或 安全 管理 主机 一 一 它 表 示 只 用 于 执行 
党 理 任 务 的 计算 机 。 
PAW 配置 如 下 选项 : 
只 有 经 过 授权 的 用 户 才 能 登录 到 PAW。 
设备 保护 和 AppLocker 策略 应 该 配置 为 只 允许 授权 的 应 用 程序 运行 在 PAW 上 。 
凭证 保护 应 该 配置 为 保护 凭证 。 
BitLocker 应 该 配置 为 保护 引导 环境 和 硬盘 数据 。 
使 用 防火 墙 配 置 PAW 来 控制 访问 。 
还 可 将 PAW 配置 为 跳 转 服务 器 ， 表 示 可 以 通过 远程 果 面 协议 远程 访问 的 PAW。 万 一 没有 安全 地 配置 ， 跳 转 服 
务 器 如 果 被 受 损 计 算 机 访问 ， 就 可 能 受到 危害。 
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集 护 域 探 制 疾 

域 控制 器 也 是 最 易 受到 攻击 的 目标 。 如 果 攻 击 者 获得 对 域 控制 器 的 访问 权 ， 就 能 够 访问 所 有 域 对 象 。 保 护 域 控 
制 器 的 步 又 包括 : 

令 ”定期 用 最 新 的 操作 系统 更 新 域 控制 器 。 

令 ”在 Server Core 安装 上 部 前 域 控制 器 ， 以 减少 域 控制 器 的 攻击 面 。 

令 ”配置 Windows Firewall with Advanced Security， 防 止 对 域 控制 器 上 的 器 口 进行 未 经 授权 的 访问 。 

令 ”为 尽量 减少 未 经 授权 的 可 执行 文件 和 脚本 在 计算 机 上 运行 的 机 会 , 使 用 AppLocker 和 设备 保护 来 控制 可 执 


行文 件 和 脚本 在 域 控 制 器 上 的 执行 。 

令 ”在 包括 可 信 平 台 模 块 (TPM) 心 片 的 硬件 上 部 四 域 控制 器 ， 用 BitLocker 驱动 器 加 密 配 置 了 所 有 卷 。 

令 ”考虑 在 分 支 机 构 上 把 域 控制 器 配置 为 只 读 域 控制 器 (RODC)。 注 意 ， 有 些 应 用 程序 (如 Exchange Server) 不 文 
持 RODC。 

令 ”虚拟 化 的 域 控制 器 应 该 运行 在 独立 的 虚拟 化 主机 上 ， 或 在 受 保护 的 光纤 上 作为 虚拟 机 运行 。 

令 ”通过 分 配 到 域 控制 器 OU 的 Group Policy, 配置 远程 果 面 协议 (RDP), 来 限制 RDP 连接 , 使 它们 只 能 在 PAW 
上 连接 。 


8.7.2 ”本 地 管理 员 


每 台 计 算 机 都 有 一 个 本 地 管理 员 账 户 。 如 果 IT 操作 人 员 无 法 建立 到 域 的 连接 ， 或 计算 机 不 是 域 成 员 ， 本 地 管 
理 员 账 尸 就 允许 IT 操作 人 员 登 录 到 计算 机 。 为 组 织 中 的 每 台 计 算 机 管理 本 地 管理 员 账 户 的 密码 是 很 有 挑战 性 的 ， 
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当 计 算 机 的 数量 非常 大 时 ， 尤 其 如 此 。 

本 地 管理 员 密 人 码 解 决 方案 (LAPS) 为 组 织 提 供 了 一 个 中 央 存 储 库 ， 来 人 存储 域 成 员 计 算 机 的 本 地 管理 员 密码 ， 它 具 
有 以 下 功能 : 

令 ”在 每 台 计 算 机 上 用 LAPS 管理 的 唯一 本 地 管理 员 密 码 。 

令 ”随机 排列 并 定期 修改 本 地 管理 员 密 码 。 

令 在 ADDS 中 安全 地 存储 本 地 管理 员 密码 和 机 密 。 

令 ”配置 权限 ， 控 制 访问 密码 和 机 密 。 

令 ” LAPS 检索 加 密 的 密码 ， 并 传输 到 客户 新 。 

LAPS 从 Microsoft 下 载 中 心 下 载 ， 并 通过 Group Policy 客户 端 扩展 来 配置 。LAPS 需要 运行 UpdateAdm- 
PwdADSchema cmdlet， 对 所 执行 的 Active Directory 架构 进行 更 新 ， 这 包含 在 一 个 Windows PowerShell 模块 中 ， 在 
计算 机 上 安装 LAPS 时 ， 该 模块 承 可 用 。 更 新 织 构 的 安全 权限 需要 以 构 管 理 员 组 的 成 员 身 份 ， 这 个 cmdlet 应 该 在 计 
算 机 上 执行 ， 该 计算 机 与 森林 中 Schema Master 角色 所 在 的 计算 机 位 于 同一 个 Active Directory 站 点 。LAPS 需求 还 
包括 安装 .NET Framework 4.0 和 Windows PowerShell 2.0 或 更 新 版 本 。 

每 次 Group Policy 刷新 时 ， 运 行 LAPS 进程 ， 包 括 以 下 步骤 : 

(1) LAPS 确定 本 地 管理 员 账 户 的 密码 是 否 过 期 。 

(2) 如 果 密 码 过 期 ，LAPS 将 执行 以 下 步骤 : 

a. 根据 为 本 地 管理 员 密 码 配 置 的 参数 ， 将 本 地 管理 员 密 码 修改 为 新 的 随机 值 。 
b. 回 AD DS 传输 新 密码 ，AD DS 将 新 密码 存储 在 一 个 特定 的 机 蜜 属性 中 ， 该 属性 与 已 更 新 其 本 地 管理 员 


账户 密码 的 计算 机 账户 相关 联 。 
c. 将 新 的 密码 过 期 日 期 发 送 到 AD DS, 并 将 其 存储 在 一 个 特定 的 机 密 属性 中 , 该 属性 与 己 更 新 其 本 地 管理 
员 上 账户 密码 的 计算 机 账户 相关 联 。 


授权 用 户 可 从 AD DS 中 读 取 密码 ， 授 权 用 户 可 在 特定 计算 机 上 发 起 本 地 管理 员 密 码 的 更 改 操作 。 

使 用 LAPS 需要 采取 几 个 步骤 来 配置 和 管理 密码 。 第 一 组 步骤 涉 及 配置 AD DS。 它 首先 将 希望 使 用 LAPS 管理 
密码 的 计算 机 账户 移动 到 OU 中 。 将 计算 机 账户 转移 到 OU 后 ， 使 用 Set-AdmPwdComputerSelfPermission cmdlet 给 
OU 中 的 计算 机 分 配 在 其 本 地 管理 员 账 户 到 期 时 更 新 其 密码 的 能 力 。 

例如 ， 为 让 伦敦 OU 中 的 计算 机 在 密码 过 期 时 使 用 LAPS 更 新 密码 ， 应 该 使 用 以 下 命令 : 

Set-AdmPwdComputerSelfPermission -Identity "London" 

默认 情况 下 ， 属 于 域 管理 员 和 企业 管理 员 组 的 账户 可 以 访问 和 得 看 存储 的 密码 。 可 以 使 用 Set- 
AdmPwdReadPasswordPermission cmdlet， 人 允许 目 定 义 组 访问 本 地 管理 员 窄 码 。 

例如 ， 为 让 LondonAdmins 组 能 在 伦敦 OU 中 的 计算 机 上 得 看 本 地 管理 员 密码 ， 应 该 使 用 以 下 命令 : 


Set—AdmPwdReadPasswordPermission -Identity "London™" ~AllowedPrincipals 
"LondonAdmins" 


下 一 步 是 在 AD DS 中 安装 GPO 模板 。 安 装 模 板 后 ， 可 配置 以 下 策略 : 

令 ”启用 本 地 管理 员 密 码 管 理 。 此 策略 启用 LAPS， 人 允许 集中 管理 本 地 管理 员 账 户 密码 。 

令 ”密码 设置 。 此 策略 允许 配置 本 地 管理 员 密 码 的 复杂 性 、 长 度 和 最 大 年 龄 。 默 认 使 用 大 写 和 小 写字 母 、 数 字 
和 特殊 字符 。 默 认 密 码 长 度 为 14 个 字符 ， 默 认 密 码 的 最 长 使 用 时 限 为 30 天 。 

仿 ”不 允许 密码 过 期 时 间 超 过 需要 的 时 间 。 当 启用 时 ， 密 码 将 根据 域 密码 过 期 策略 进行 更 新 。 

令 ”管理 管理 员 账 户 的 名 称 。 使 用 此 策略 识别 目 定义 的 本 地 管理 员 账 户 。 

可 使 用 下 列 方法 查看 分 配给 计算 机 的 密码 : 

令 ”在 Active Directory Users and Computers 中 ， 检 查 ms-Mcs-AdmPwd 属性 ， 查 看 启用 了 Advanced Features 
的 计算 机 账户 的 属性 。 

令 ”使 用 LAPS 用 户 界面 (UD 应 用 程序 。 

例 使 用 Windows PowerShell cmdlet Get-AdmPwdPassword; 在 安装 LAPS 时 ,可 通过 AdmPwd.PS 模块 使 用 该 


cmdlet。 
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8.7.3 ”最 小 管理 权限 


JEAJ 是 一 门 帮助 管理 员 实现 这 种 安全 最 佳 实践 的 技术 一 一 通过 运行 Windows PowerShell | 合 来 精确 定义 特定 资源 
上 侈 许 的 操作 。 一 有 旦 配置 了 正 A， 授 权 用 户 就 可 以 连接 到 特定 定义 的 问 点 ， 并 使 用 一 组 特定 的 Windows PowerShell 
cmdlet、 参 数 和 参数 值 。 例 如 ， 可 将 正 A 应 点 配置 为 允许 授 权 用 户 重 新 局 动 特定 的 服务 (如 IS)， 但 不 允许 重 新 司 动 
其 他 任何 服务 或 执行 其 他 管理 操作 。 

JEA 使 用 虚拟 账户 (而 不 是 用 户 账 户 ) 来 执行 任务 。 这 种 方法 的 好 处 包括 : 

全 ”用 户 的 凭证 不 保存 在 远程 系统 上 ， 所 以 用 户 的 凭证 不 会 受到 损害 。 

倒 ”用 于 连接 到 新 点 的 用 尸 账户 不 需要 管理 权限 。 它 只 需要 允许 远程 连接 的 权限 。 

令 ”虚拟 账户 仅 限 于 托管 它 的 系统 。 虚 拟 账户 不 能 用 于 连接 远程 系统 。 攻 击 者 不 能 使 用 受 损 的 虚拟 账户 访问 其 

他 受 保 护 的 服务 器 。 
雪上 庶 拟 账户 只 有 本 地 管理 员 权 限 ， 但 仅 限 于 执行 正 A 定义 的 活动 。 虚 拟 账 户 可 以 配置 为 本 地 管理 员 组 以 外 
的 组 的 成 员 ， 以 进一步 减少 特权 。 

JEA 在 Windows Server 2016 和 Windows 10 版 本 1511 或 更 高 版 本 的 操作 系统 上 得 到 文 持 。 如 果 安 装 】] Windows 
Management Framework 5.0， 那 么 正 A 最 低 在 Windows 7 和 Windows Server 2008 R2 操作 系统 上 起 作用 。JEA 还 需 
要 PowerShell, 可 在 运行 Windows Server 2012 或 更 高 版 本 的 每 台 计 算 机 上 启用 PowerShell。 或者, 可 启用 PowerShell 
模块 和 脚本 块 ， 如 本 章 前 面 所 述 。 


8.7.4 角色 功能 文件 


JEA 需要 角色 功能 (Role-Capability) 文 件 才能 指定 可 以 在 Windows PowerShell 会 话 中 执行 的 操作 。 只 允许 执行 在 
此 文件 中 列 出 的 操作 。 

使 用 New-RoleCapabilityFile cmdlet 可 创建 角色 功能 文件 ,该 cmdlet 创建 一 个 扩展 名 为 .psrc 的 文件 。 一旦 创建 ， 
角色 功能 文件 就 可 以 根据 需要 进行 编辑 。 

角色 功能 文件 支持 表 8.3 所 示 的 组 件 。 


表 8.3 角色 功能 
功 能 摘 ” 述 

ModulesToImport 允许 导 入 目 定 义 模块 
VisibleAliases 列 出 IEA 会 话 中 可 用 的 别名 
VisibleCmdlets 列 出 会 话 中 可 用 的 Windows PowerShell cmdlet 
VisibleFunctions 列 出 会 话 中 可 用 的 Windows PowerShell 函数 
WisibleExtemalCommands 允许 用 户 连接 到 会 语 上 ， 运 行 外 部 命令 
VisibleProviders 列 出 会 话 中 可 用 的 Windows PowerShell 提供 程序 
ScriptsToProcess 配置 Windows PowerShell 脚本 在 会 话 开始 时 目 动 运行 
AliasDefinitions 定义 JEA 会话 的 Windows PowerShell 别名 
FunctionDefinitions 定义 正 A 会 话 的 Windows PowerShell 图 数 
VariableDefinitions 定义 正 A 会 话 的 Windows PowerShell 变量 
EnvironmentVariables 指定 JEA 会 话 的 更 好 变量 
TypesToProcess 配置 要 为 JEA 会 话 加 载 的 Windows PowerShell 类 型 文件 
FormatsToProcess 配置 要 为 JEA 会 话 加 载 的 Windows PowerShell 格式 
AssembjlesIoLoad 指定 为 JEA 会 话 加 载 的 程序 集 


下 面 看 一 些 例 子 。 例 如 ， 为 使 Restart-Service cmdlet 仅 用 于 DNS 服务 ， 应 该 在 角色 功能 文件 中 提供 以 下 条 目 : 


VisijbleCcmdlets = @{ Name = "Restart—Service': 
ValidateSet = "DNS"}} 


Parameters = @{ Name='Name': 
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8.7.5 ”会 二 配置 文件 


在 部 署 下 A 时 ， 应 该 注册 并 配置 端点 。 在 配置 问 点 时 ， 应 该 定义 谁 有 权 访 问 JEA 端点 、 将 哪些 角色 分 配给 访 
问 站 点 的 对 象 ， 并 定义 器 氮 的 名 称 。 
要 创建 一 个 新 的 会 话 配 置 文件 ， 应 该 使 用 New-PSSession-ConfigurationFile cmdlet， 它 将 创建 一 个 市 有 .pssc 扩 
展 名 的 文件 。 
会 话 配置 文件 的 组 件 如 表 8.4 所 示 。 
表 8.4 会 话 配置 文件 的 组 件 
字 段 说 明 
配置 会 话 的 默认 设置 。 如 果 设 置 为 RestrictedRemoteServer， 陈 可 以 使 用 Get-Command、 
Get-FormatData 、Select-Object 、Get-Help 、Measure-Object、Exit-PSSession 、Clear-Host 和 


Out-Default cmdlet。 会 话 执行 策略 设置 为 RemoteSigned。 例 如 : 
SessionType =RestrictedRemoteServer 
: 将 角色 功能 分 配给 特定 的 安全 组 。 例 如 : 
RoleDefinitions 
RoleDefinitions =(@{'CONTOSO\DNSOPps' =(2 {RoleCapabilities=DNSOps'}} 
| 将 JEA 配置 为 使 用 仅 为 正 A 会 话 创 建 的 特权 虚拟 账户 。 这 个 虚拟 账户 在 成 员 服务 器 上 具有 本 
RunAsVirtualAccount 下 
地 管理 员 的 特权 ， 并 且 是 域 控制 器 上 域 管 理 员 组 的 成 员 
TranscriptDirectory 指定 了 存储 J 下 A 活动 转录 本 的 位 置 
如 果 不 想 让 虚拟 账户 成 为 本 地 管理 员 组 或 域 管理 员 组 的 成 员 ， 了 驶 可 以 使 用 这 个 字段 ， 而 不 是 
RunAsVirtualAccountGroups 
指定 虚拟 账户 所 在 的 组 


一 台 服 务 器 可 以 有 多 个 下 A 端点 ， 每 个 下 A 奖 氮 可 以 用 于 不 同 的 管理 任务 。 例 如 ， 可 以 使 用 一 个 端点 来 执行 
IIS 管理 任务 ， 而 使 用 男 一 个 端点 来 执行 DNS 管理 任务 。 用 户 不 必 具 有 连接 到 问 点 的 管理 权限 。 连 接 之 后 ， 用 户 束 
会 获得 在 会 话 配置 文件 中 给 虚拟 账户 配置 的 管理 权限 。 

JEA 闹 皮 是 使 用 Register-PSSessionConfiguration cmdlet 创建 的 。 使 用 这 个 cmdlet 时 ， 指 定妆 点 名 称 和 驻 留 在 本 
地 机 器 上 的 会 话 配置 文件 。 

例如 ， 要 使 用 ISManagement.pssc 会 话 配置 文件 创建 名 为 ISManagement 的 站 点， 可 运行 以 下 命令 : 

Register-PSSessionConfiguration -Name 'IISManagement' -Path IISManagdement.pssc 

在 Windows PowerShell 会 话 中 使 用 Enter-PSsession cmdlet 来 连接 下 A 端点 。 例 如 ， 为 了 连接 到 计算 机 NYDC1 
上 名 为 ISManagement 的 正 A 端点 ， 使 用 Contoso 域 中 用 户 Paul 的 赁 证， 运行 以 下 命令 ; 

EnteI-PSSes3slon ComputerName NY-DCl1 ~ConfiguratijonName IISManagement Credential 

Contoso\Paul 

完成 管理 任务 后 ， 可 使 用 Exit-PSSession cmdlet 来 结束 交互 会 话 。 

部 着 JEA 的 第 一 步 是 测试 配置 。 如 果 测 试 成 功 ， 则 将 角色 功能 文件 和 会 话 配 置 文件 复制 到 目标 计算 机 ， 并 在 该 
计算 机 上 创建 下 A 端点 , 可 以 将 配置 部 罩 到 其 他 计算 机 上 。 可 以 使 用 IEA 预期 状态 配置 (Desired State Configuration， 
DSC)， 它 允许 将 JEA 集中 部 署 到 组 织 内 由 DSC 维护 其 配置 的 计算 机 。 此 外 ,使 用 DSC， 用 户 和 角色 映射 可 以 集中 


管理 。 


8.8 ”保护 Active Directory 基础 设施 


Active Directory 是 每 个 基于 Windows 的 服务 器 基础 设施 的 基础 。 它 存储 用 户 账户 、 计 算 机 账户 和 组 。 许 多 应 
用 程序 (例如 Exchange、SharePoint、Skype for Business 和 SQL Server) 使 用 Active Directory 存储 信息 ， 并 进行 身份 
验证 和 授权 。 对 Active Directory 的 攻击 是 对 所 有 依赖 于 Active Directory 的 应 用 程序 的 攻击 。 保 护 Active Directory 
是 安全 管理 员 最 重要 的 任务 之 一 。 
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8.8.1 增强 的 安全 管理 环境 


增强 的 安全 管理 环境 (ESAE) 森 林 是 设计 Active Directory 基础 设施 的 一 种 特定 体系 结构 方法 。 在 ESAE 中 ， 专 
用 的 常理 Active Directory 森林 托管 具有 管理 权限 的 特权 访问 工作 站 、 安 全 组 和 账 己 ,而 资源 和 非常 理 员 用 户 账 户 位 
于 单独 的 生产 森林 中 。ESAE 森林 配置 了 从 生产 森林 到 管理 森林 的 单 癌 信任 关系 ， 这 意味 着 管理 森林 账户 将 有 权 访 
问 生 产 森 林 资 源 。 

ESAE 森林 应 该 是 一 个 单 域 Active Directory 和 森林， 以 避免 复杂 性 。 此 外 ，ESAE 森林 只 托 官 少量 账 尸 ， 必 须 对 
这 些 账户 应 用 严格 的 安全 策略 。ESAE 和 森林 中 没有 部 童 任 何 应 用 程序 ， 因 为 它 仅 用 于 托管 管理 账户 。 

ESAE 和 森林 服务 器 需要 按照 以 下 方式 配置 : 
应 验证 安装 介质 。 
服务 器 应 该 运行 最 新 版 本 的 Windows Server 操作 系统 。 
服务 器 应 该 目 动 更 新 安全 性 。 
安全 合 规 宵 理 基本 原则 应 该 用 作 服 务 器 配置 的 起 点 。 
服务 器 应 配置 安全 引导 、BitLocker 卷 加 密 、 和 凭证 保护 和 设备 指南 。 
服务 器 应 该 配置 块 USB 存储 。 
服务 器 应 该 是 孤立 的 网 络 。 应 阻塞 入 站 和 出 站 Intermet 连接 。 

ESAE 森林 具有 以 下 好 处 : 

锁定 账户 : ESAE 森林 中 的 标准 非特 权 用 户 账户 可 以 配置 为 生产 森林 中 的 高 度 特权 用 户 账户 。 例 如 ，ESAE 和 森 
林 中 的 标准 用 户 账户 , 在 生产 森林 中 就 变 成 域 中 Domain Admins 组 的 成 员 。 可 以 锁定 托管 在 ESAE 森林 中 的 标准 用 
户 账户 ， 使 其 不 能 登录 到 ESAE 和 森林 中 的 主机 ， 只 能 用 于 登录 到 生产 森林 中 的 主机 。 如 果 一 个 账户 在 生产 森林 中 使 
用 时 遭 到 攻击 ， 则 此 设计 更 加 安全 ， 因 为 攻击 者 不 能 使 用 该 账户 在 ESAE 和 森林 中 执行 管理 任务 。 

选择 性 身份 验证 : ESAE 森林 的 设计 允许 组 织 利 用 信任 关系 的 选择 性 号 份 验证 特性 。 例 如 ， 来 自 ESAE 森林 中 
的 登录 仅 限 于 生产 森林 中 的 特定 主机 。 这 是 另 一 种 有 助 于 限制 凭证 泄露 的 方法 。 例 如 ， 在 配置 选择 性 身份 验证 时 ， 
可 限制 凭证 公开 ， 这 样 生 产 牺 林 中 的 特权 账户 只 能 在 特权 访问 工作 站 或 跳 转 服务 器 上 使 用 。 


8.8.2 ”特权 访问 管理 


特权 访问 管理 (PAM) 是 一 种 技术 ， 在 有 限 的 时 间 内 (而 不 是 永久 地 ) 回 管理 用 户 授予 管理 权限 。 它 使 用 被 授予 特 
权 的 安全 组 的 临时 成 员 里 份 ， 而 不 是 安全 组 的 水 久 成 员 里 份 。PAM 提高 了 安全 性 ， 因 为 权限 是 临时 分 配 的 ， 而 不 
是 永久 分 配 的 ; 可 以 配置 PAM， 仅 在 请 求 并 获得 批准 之 后 才 分 配 特权 。 

实现 之 后 ，PAM 可 提供 以 下 安全 改进 : 

令 需要 管理 员 权 限 的 所 有 账户 都 是 标准 的 用 户 账 记 。 只 有 在 请 求 并 获得 批准 之 后 才能 授予 特权 。 如 果 管 理 员 

团队 使 用 的 用 户 账户 受到 攻击 ， 攻 击 者 除了 分 配给 标准 用 户 账 户 的 权限 外 ， 不 会 获得 其 他 权限 。 

令 ”所 有 对 权限 的 请 求 都 会 记录 下 来 。 

令 ”特权 都 是 暂时 的 。 这 样 IT 操作 团队 的 成 员 更 难 执行 未 经 授权 的 活动 。 

一 旦 授予 了 权限 ， 用 户 就 必须 打开 新 的 Windows PowerShell 会 话 ， 或 退出 、 再 次 登录 ， 建 立 一 个 新 会 话 ， 才 能 
利用 为 其 账户 配置 的 新 组 成 员 关 系 。 

为 了 部 署 PAM 解决 方案 ， 还 需要 部 四 Microsoft Identity Manager (MIM) 2016。MIM 功能 包括 管理 组 织 中 的 用 
户 、 赁 证 、 策 略 和 访问 ， 包 括 混合 和 路 和 森林 场景 。 

在 组 织 中 部 四 PAM 的 体系 结构 如 图 8.11 所 示 。 

PAM 部 灵 包 括 以 下 组 件 : 

令 ”管理 森林 。 管 理 (或 堡垒 ) 森 林 配 置 为 ESAE 管理 森林 。 

令 Microsoft Identity Manager(MIMD2016。 用 于 省 理 来 自 所 谓 堡 拿 森 林 的 账 尸 和 组 成 员 的 产品 。 堡 爸 森 林 是 
一 个 独立 的 森林 ， 包 括 管理 生产 森林 的 账户。 
生产 森林 。 这 是 承载 组 织 资 源 的 森林 。 
PAM 客户 机 。 与 MIM PAM 功能 交互 的 客户 疹 软 件 ， 用 于 请 求 访问 PAM 角色 。 
PAM 组 件 服务 。 管 理 特权 账户 的 生命 周期 。 
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PAM 监控 服务 。 监 视 生 产 森 林 ， 将 对 生产 森林 的 更 改 复制 到 管理 森林 或 MIM 服务 。 

PAM RESTAPI。 可 用 于 局 用 目 定 义 客户 器 ， 与 PAM 交互。 

MIM 服务 。MIM 服务 器 负责 特权 账户 的 管理 过 程 。 

MIM 门户 。MIM 门户 是 一 个 SharePoint 站 点 。 它 提供 管理 和 配置 功能 。 

MIM 服务 数据 库 。MIM 服务 数据 库 可 以 托管 在 SQL Server 2012 或 SQL Server 2014 上 。 它 保存 MIM 服 
务 使 用 的 配置 和 标识 数据 。 
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图 8.11 PAM 体系 结构 


PAM 使 用 影子 账户 和 影子 组 ， 它 们 分 别 代表 生产 森林 中 的 账户 和 组 的 副本 。 将 用 户 添 加 到 PAM 角色 时 ，MIM 
将 用 户 在 管理 森林 中 的 影子 账户 添加 到 管理 森林 的 影子 组 中 。 当 用 户 使 用 这 个 账户 登录 时 , 他们 的 Kerberos 令 牌 就 
包含 一 个 安全 标识 符 ， 它 与 生产 森林 中 原始 组 的 安全 标识 符 匹 配 。 

可 使 用 New-PAMUser cmdlet 创建 影子 用 户 ， 其 中 生产 森林 和 伐 垒 森林 之 间 必 须 存 在 信任 关系 。 还 必须 指定 源 
域 和 源 账户 名 称 。 例 如 ， 要 基于 Contoso.com 域 中 的 George 账户 创建 一 个 新 的 影子 用 户 ， 应 该 使 用 以 下 命令 : 

New—PAMUser SourceDomain Contoso.com ~SourceAccountName George 

可 使 用 MIM 门户 的 Web 界面 配置 以 下 PAM 角色 设置 : 

显示 名 称 : PAM 角色 的 名 称 。 

PAM 特权 : 一 个 安全 组 的 列表 ， 被 授予 该 角色 访问 权 的 用 户 会 临时 添加 到 这 些 安 全 组 中 。 

PAM 角色 TTL(sec): 这 是 成 员 被 授予 此 角色 的 最 长 时 间 。 默 认 值 是 3600 秒 (1 小 时 )。 

启用 MFA: MIM 的 PAM 功能 可 与 Azure 多 因素 身份 验证 集成 。MFA 需要 两 种 形式 的 身份 验证 。 第 二 种 形式 
的 身份 验证 可 以 包括 短信 或 电话 。 

批准 请 求 : 可 以 配置 PAM 角色 成 员 资 格 ， 只 有 在 PAM 管理 员 批 准 请 求 时 才 授 予 该 成 员 资 格 。 

启用 可 用 性 窗口 : 配置 该 选项 时 ，PAM 角色 只 能 在 特定 时 间 内 使 用 。 

描述 : 提供 了 PAM 角色 的 描述 。 

最 后 ， 结 合 PAM 与 下 A， 可 以 最 大 化 安全 级 别 ， 方 法 是 限制 谁 可 以 执行 管理 任务 ， 精 确 地 控制 哪些 任务 允许 
执行 ， 将 特权 用 户 账户 隔离 在 独立 的 森林 中 ， 来 保护 这 些 账户 ， 限 制 分 配 管理 权限 的 时 间 。 然 而 ， 这 种 基础 结构 增 
加 了 管理 和 维护 该 解决 方案 的 复杂 性 。 因 此 ， 应 该 仔细 分 析 组 织 的 业务 需求 ， 并 决定 将 部 署 什么 样 的 安全 场景 和 解 
决 方案 。 


8.9 ” 恶 蕊 软件 保护 


自从 个 人 电脑 间 世 以 来 ， 恶意 软件 就 一 直 存 在 。 遗 憾 的 是 ， 恶 意 软件 不 断 被 开发 出 来 ， 攻 击 者 不 断 寻 找 新 的 方 
法 来 损害 操作 系统 。 我 们 不 时 听 到 新 的 病毒 在 互联 网 上 传播 , “勒索 软件 攻击 ”加 密 用 户 和 组 织 的 数据 。 
Windows Server 2016 包括 Windows 防御 器 ， 帮 助 保护 用 户 的 电脑 免 受 各 种 恶意 软件 的 攻击 。Windows 防御 器 
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使 用 反 恶 意 软件 定义 ， 来 确定 它 检测 到 的 软件 是 否 存 在 恶意 ， 并 提醒 用 户 存 在 淤 在 的 风险 。 由 于 每 天 都 有 新 的 威胁 
出 现在 互联 网 上 ，Windows 防御 器 会 目 动 检查 新 的 定义 ， 并 在 它们 发 布 时 及 时 安装 。 当 Windows 防御 者 检测 到 潜 
在 的 恶意 软件 活动 时 ， 它 会 根据 威胁 的 类 型 提高 到 不 同 的 警戒 级 别 。 如 果 任 何 软件 试图 更 改 重 要 的 Windows 操作 
系统 设置 ，Windows 防御 器 也 会 发 出 警告 。 为 了 防止 恶意 软件 和 其 他 不 需要 的 软件 在 电脑 上 运行 ， 打 开 Windows 
防御 实时 保护 。 

Windows 防御 器 有 三 个 扫描 选项 ， 列 在 表 8.5 中 。 


表 8.5 Windows 防御 扫描 选项 


扫描 选项 说 明 

快速 检查 区 域 ， 如 系统 文件 去 和 注册 表 ， 亚 意 软件 最 可 能 攻击 那里 
全 面 检查 硬盘 上 的 所 有 文件 和 所 有 运行 的 程序 

目 定义 允许 用 户 扫描 特定 的 驱动 器 和 文件 夹 


当 Windows 防御 器 检测 到 潜在 的 有 害 文件 时 ， 束 将 文件 移动 到 隔离 区 域 ; 不 允许 运行 它 ， 也 不 允许 其 他 进程 
访问 它 。 用 户 可 以 检查 被 隔离 的 文件 ， 并 决定 是 否 应 该 使 用 Remove or Restore Quarantined Items 选项 来 删除 或 恢复 
这 些 文件 。 此 外 ， 用 户 可 以 维护 Allowed 列表 ， 选 择 将 文件 放 在 允许 列表 中 。 


验证 微软 是 否 支 持 Windows 防御 器 

在 Windows Server 2016 操作 系统 上 启用 Windows 防御 器 之 前 ， 请 检查 该 场景 是 否 得 到 微软 的 支持 。 人 例如， 如 
果 运 行 Exchange Server，Windows 防御 器 不 支持 Exchange， 因 此 它 将 扫描 Exchange 数据 库 作 为 常规 文件 。 由 于 
Windows 防御 器 不 了 解数 据 库 结构 ， 因 此 存在 破坏 数据 库 文件 的 潜在 风险 。 因此， 建议 在 运行 Exchange Server 的 
机 器 上 禁用 Windows 防御 器 ， 或 者 至 少 配 置 Windows 防御 器 ， 不 扫描 Exchange Server 使 用 的 文件 和 文件 夹 。 作 为 
一 种 最 佳 实践 ， 在 启用 Windows 防御 器 之 前 ， 应 该 始终 检查 Microsoft 的 支持 状态 ， 这 取决 于 运行 在 Windows 服务 
器 上 的 不 同 产品 (如 Skype for Business、SQL Server、 域 控制 器 和 其 他 类 型 的 服务 器 角色 )。 


8.9.1 软件 限制 策略 


软件 限制 策略 (SRP) 是 在 Windows Server 2003 操作 系统 中 引入 的 ， 它 们 为 管理 员 提 供 了 指定 哪些 应 用 程序 可 在 
客户 机 上 运行 的 功能 。SRP 包含 规则 和 安全 级 别 ， 并 通过 Group Policy 进行 配置 。 

该 规则 控制 SRP 如 何 回 应 正在 运行 或 安装 的 应 用 程序 ， 并 基于 以 下 条 件 之 一 : 

令 ” 散 列 。 文 件 的 加 密 指 纹 。 

令 ”和 任 证 。 对 文件 进行 数字 签名 的 软件 发 行商 证 书 。 

令 ” 路径。 存储 文件 的 本 地 或 UNC (通用 命名 约定 ) 路 径 。 

令 ” 区域。 互联 网 的 区 域 。 

每 个 应 用 的 SRP 都 可 以 配置 一 个 安全 级 别 ， 该 级 别 决定 操作 系统 如 何 啊 应 不 同类 型 的 应 用 程序 。 这 里 列 出 了 
三 个 可 用 的 安全 级 别 : 

> ”不 允许 。 不 省 用 户 的 访问 权限 如 何 ， 规 则 识别 的 软件 都 不 会 运行 。 

基本 用 户 。 标 准 用 户 可 以 运行 “规则 识别 的 软件 ”。 
无 限制 。 规 则 识别 的 软件 的 运行 可 以 不 受 SRP 的 限制 。 

SRP 可 在 Group Policy 管理 编辑 器 中 的 以 下 位 置 配置 ; Computer Confieuration\Policies\Windows Settings\Security 
Settings\ Software Restriction Policies， 如 图 8.12 所 示 。 


Object Type 
| Security Levels 
J Additional Rules 
S| Enforcement 
329 Designated File Types 


mel Trusted Publishers 


到 8.12 在 Group Policy 管理 编辑 器 中 配置 软件 限制 策略 
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8.9.2 AppLocker 


AppLocker 在 Windows Server 2008 R2 操作 系统 中 引入 ， 它 控制 用 户 可 以 运行 哪些 应 用 程序 。AppLocker 通过 
Group Policy 应 用 于 组 织 单元 (OU) 中 的 计算 机 对 象 。 单 个 AppLocker 规则 可 以 应 用 于 独立 的 Active Directory 域 服 务 
(AD DS) 用 户 或 组 。AppLocker 可 用 于 监视 或 审计 规则 的 应 用 。 使 用 AppLocker 技术 ， 管 理 员 可 以 控制 用 户 如 何 访 
问 和 使 用 文件 ， 例 如 exe 文件 、 脚 本 、Windows 安装 程序 (msi 和 msp 文件 )、 动 态 链 接 库 (DLL) 和 打包 应 用 程序 (如 
Windows Store 应 用 程序 ) 等 。 

AppLocker 可 用 于 限制 公司 内 不 允许 的 软件 、 公 司 内 不 再 支持 或 使 用 的 文件 ， 或 仅 在 特定 部 门 使 用 的 软件 。 

在 Group Policy 浓 理 编辑 器 中 ，AppLocker 设置 在 以 下 位 置 配 置 Computer Configuration\Policies\Windows Settings\ 
Security Settings\Application Control Policies， 如 图 8.13 所 示 。 

v | Application Control Policies 


ww Er | AppLocker 
》 FE txecutable Rules 


; Windows Installer Rules 
》 | 引 Script Rules 
) Ba Packaged app Rules 


8.13 在 Group Policy 管理 编辑 器 中 配置 AppLocker 


AppLocker 使 用 应 用 程序 标识 服务 来 验证 文件 的 属性 。 应 该 将 此 服务 配置 为 在 应 用 AppLocker 的 每 台 计 算 机 上 
目 动 局 动 。 

AppLocker 中 的 规则 是 基于 文件 属性 来 定义 的 ， 这 些 文件 属性 从 文件 的 数字 签名 中 派生 。 数 字 签 名 中 的 文件 属 
性 包括 : 


令 ”出 版 商 的 名 字 
令 ”产品 名 称 
令 ”文件 名 称 
令 ”文件 版 本 


“允许 和 拒绝 ”是 规则 ， 基 于 配置 的 应 用 程序 列表 ， 人 允许 或 禁止 应 用 程序 的 执行 。 如 果 选 择 Allow Action， 组 织 
的 计算 机 将 只 运行 那些 专门 允许 的 应 用 程序 。 如 果 选 择 Deny Action， 组 织 的 计算 机 将 运行 所 有 应 用 程序 ， 但 拒绝 
应 用 程序 列表 中 的 应 用 程序 除外 。 

AppLocker 策略 有 两 种 执行 模式 Enforce 和 Audit Only。 如 果 选 择 Enforce，AppLocker 将 强制 执行 所 有 规则 ， 
审计 所 有 事件 。 如果 选 择 Audit Only, AppLocker 将 只 评估 规则 , 并 将 事件 写 入 AppLocker 日 志 。 可 以 使 用 Audit Only 
选项 来 帮助 评估 AppLocker 配置 了 Enforce 选项 时 会 发 生 什 么 ， 因 此 可 以 在 实际 执行 之 前 测试 场景 。 


8.9.3 设备 保护 


设备 保护 是 Windows Server 2016 中 引入 的 一 个 新 特性 ， 它 是 硬件 和 软件 组 件 的 组 合 ， 确 保 只 允许 可 信和 和 授权 
的 应 用 程序 在 计算 机 上 运行 。 设 备 保护 使 用 基于 虚拟 化 的 安全 性 来 隔离 代码 完整 性 服务 ， 并 在 一 个 受 管理 程序 保护 的 
容器 中 与 Windows 内 核 一 起 运行 。 管 理 员 可 以 配置 在 实现 设备 保护 的 计算 机 上 运行 哪些 应 用 程序 。 为 此 ， 要 使 用 代码 
完整 性 策略 来 保护 环境 。 人 代码 完整 性 策略 的 位 置 在 文件 C\Windows\System32\CodeIntegrity\sipolicy.p7b 中 。 

设备 保护 包括 以 下 技术 : 

虚拟 安全 模式 : 虚拟 安全 模式 是 隔离 本 地 安全 子 系统 服务 LSASS.exe 进程 与 操作 系统 的 虚拟 外 壳 。 在 
Windows 10 和 Windows Server 2016 中 ， 虚 拟 机 监控 程序 位 于 人 硬件 之 上 ， 它 直接 与 硬件 交互 ， 人 允许 与 虚拟 客户 
端 共 侍 硬件 。 

可 配置 的 代码 完整 性 (CCN): CCI 验证 Windows 操作 系统 正在 执行 的 代码 。 它 不 允许 局 动 未 经 授权 的 应 用 程序 。 

虚拟 安全 模式 保护 的 代码 完整 性 : 可 配置 的 代码 完整 性 策略 有 两 个 组 件 : 用 户 模式 代码 完整 性 (UMCIT 和 
内 核 模 式 代 码 完整 性 (KMCD。 与 以 前 的 Windows 版 本 相 比 ，KMCI 提供 了 内 存 管理 方面 的 改进 ， 并 且 人 允许 组 
织 指 定 目 己 的 KMCI 和 UMCI 设置 。 可 配置 的 代码 完整 性 应 该 与 其 他 安全 解决 方案 一 起 运行 ， 比 如 杀毒 软件 
或 AppLocker。 
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平台 和 统一 可 扩展 固件 接口 (UEFI) 安 全 引导 : 该 安全 引导 在 Windows 8 中 引入 ， 确 保 引 导 加 载 程序 代码 和 固件 
不 被 恶意 代码 复 改 。 这 个 特性 需要 在 UEFI 中 局 用 UEFI booting and Secure Boot 选项 。 


配置 设备 保护 


要 在 Windows 10 或 Windows Server 2016 中 局 用 虚拟 安全 模式 ， 必 须 执行 以 下 步 又 : 
(1) 在 BIOS 中 局 用 安全 引导 和 UEFTI。 
(2) 局 用 可 信 平 台 模 块 (TPM)。 
(3) 安装 Microsoft Hyper-V 监控 程序 。 不 需要 Hyper-V 服务 和 管理 工具 。 
(4) 局 用 隔离 用 户 模 式 。 
(5) 局 用 名 为 Enable Credential Guard 的 虚拟 安全 模式 策略 。 可 以 在 Computer ConfigurationAdministrative 
Templates\System\ Device Guard\Turn on Virtualization Based Security 策略 中 找到 这 个 设置 。 
(6) 以 管理 员 吴 份 运行 以 下 命令 ， 然 后 重新 局 动 计算 机 ， 将 局 动 配置 数据 (BCD) 配 置 为 局 动 虚拟 安全 模式 : 
bcdedit /set vsmlaunchtype auto 
(7) 在 事件 查看 器 的 系统 日 志 中 验证 ,当前 运行 的 是 虚拟 安全 模式 ; 在 任务 管理 器 中 验证 运行 了 安全 系统 进程 。 
为 了 确保 服务 器 上 只 有 受信 任 的 发 布 程序 签名 的 软件 ， 应 该 在 服务 器 上 创建 代码 完整 性 文件 ,该 文件 具有 预先 
配置 的 设置 ， 只 运行 需要 的 软件 。 运 行 New-CIPolicy cmdlet， 可 以 创建 代码 完整 性 文件 ， 如 下 所 示 : 
New—CIPolicy -LIevel Publisher -FilePath C:‘\CI\audit-—publisher.xml -UserPEs ~audit 
该 命令 扫 摘 用 己 模式 和 内 核 模 式 文件 ,然后 找到 所 有 签名 程序 , 并 将 它们 放 入 使 用 New-CIPolicy cmdlet 创建 的 
代码 完整 性 策略 XML 文件 中 。 一 旦 创建 了 XML 文件 ， 需 要 运行 以 下 命令 ， 将 其 转换 为 二 进 制 文件 : 
ConvertFrom-—CIPolicy .NSsofttware.xmnl .\software.bin 
创建 .bin 文件 后 ， 需 要 使 用 图 形 界 面 或 运行 以 下 命令 ， 将 其 复制 到 Windows System32 下 的 CodeIntegrity 文件 
夹 中 ， 然 后 重新 尼 动 计算 机 : 
Copy-Item .\software.bin C:\Windows\System32\CodeIntegrity\sipolicy.p7b 
局 用 设备 保护 后 ， 就 开始 以 审计 模式 工作 。 一 旦 管理 员 检 查 了 审计 日 志 ， 确 信 代 码 完 整 性 策略 是 正确 的 ， 设 备 
保护 就 可 以 在 使 用 Windows 10 和 Windows Server 2016 操作 系统 的 计算 机 上 从 审计 模式 切换 到 强制 模式 。 使 用 -Audit 
参数 , New-CIPolicy cmdlet 允许 基于 审计 日 志 构 建 策略 。 此 外 , 可 以 从 多 个 服务 器 上 捕获 策略 , 使 用 Merge-CIPolicy 
cmdlet 合并 它们 。 例 如 , 可 以 将 从 审计 日 志 中 创建 的 策略 与 初始 策略 合并 起 来 。 ConvertFrom-CIPolicy cmdlet 将 XML 
格式 的 策略 转换 为 二 进 制 格式 。 在 策略 转换 为 二 进 制 格式 之 后 , 可 以 将 它 复制 到 CodeIntegrity 文件 严 , 如 下 例 所 示 ， 
然后 重新 局 动 计算 机 : 
ConvertFrom-CIPolicy C:\CI\MergedPolicy.xml c:\CI\software.bin 
cp C:\CI\software.bin c:\Windows\System32\CodeIntegrity\SIPolicy.p7b 
可 配置 的 代码 完整 性 策略 包括 不 同 的 规则 选项 。 要 检查 设备 保护 的 各 种 规则 选项 ， 可 使 用 以 下 命令 : 
Set-Ruleoption - Help 
前 面 的 命令 将 显示 以 下 选项 : 
0 局 用 : UMCI 
1 司 用 : 启动 菜单 的 保护 
2 要 求 : WHQL 
3 局 用 : 审计 模式 
4 禁用 : 飞行 签 赣 
5 局 用 : 继承 默认 策略 
6 局 用 : 未 签名 系统 完整 性 的 策略 
7 允许 : 调试 策略 增强 
8 要 求 : EV 签名 程序 
9 局 用 : 高 级 局 动 选项 采 单 


雪 邹 和 
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倒 10 局 用 : 引导 审计 失败 

令 11 茶 用 : 脚本 执行 

要 将 设备 保护 从 审计 模式 改 为 强制 模式 ， 可 使 用 Set-RuleOption cmdlet， 并 从 前 面 的 列表 中 选择 适当 的 选项 ， 
如 下 例 所 示 : 

Set—RuleOption -Option 5 -FilePath [file location|] -Delete 

完整 的 场景 如 下 : 

Set—-RuleOption -FfilePath C:\ci\newci.xml -Option 3 -Delete 


ConvertFrom-—-CIPolicy .Anewci-xnl .\newci.bin 
Copy-—Item .AN newci.bin C:\Windows\System32\CodeIntegrity\sipolicy.pib. 


重新 启动 计算 机 后 , 代码 完整 性 策略 将 处 于 强制 模式 。 如 果 试 图 执行 设备 保护 策略 不 允许 的 文件 , 就 会 显示 “ 系 
统 无 法 执行 指定 的 程序 ”的 消息 。 

设备 保护 文 持 使 用 不 同类 型 的 应 用 程序 ， 包括 签 名 和 没有 任何 数字 签名 的 应 用 程序 。 文 持 的 两 类 数字 签名 
如 下 : 

能 入 式 签 名 : 二 进 制 文件 和 签名 信息 是 自 包 含 的 ， 这 些 签名 对 于 启动 驱动 程序 或 运行 时 检查 是 必需 的 。 

类 别 签名 : 是 一 个 经 过 签名 的 文件 ， 它 标识 了 一 个 或 多 个 二 进 制 文件 。 这 些 类 别 位 于 [System32]\CatRoot 文件 
夹 中 。 它 们 是 驱动 程序 包 或 安装 时 检查 所 需 的 。 类 别 签名 的 管理 和 部 砂 可 以 独立 于 包 二 进 制 文 件 ， 并 且 它 们 保留 任 
何 现 有 的 签名 。 


8.10 ”用 额外 的 微软 产品 加 强 操作 系统 的 安全 性 


我 们 经 第 遇 到 与 标准 操作 系统 技术 相 比 具有 额外 特性 的 工具 。 其 中 一 些 工 具 是 由 微软 开发 的 ， 还 有 一 些 是 由 第 
三 方 供应 商 开 发 的 。 本 节 将 学 习 Advanced Threat Analytics( 高 级 威胁 分 析 )， 这 是 微软 开发 的 一 种 安全 工具 ， 可 以 帮 
助 省 理 员 监 视 基础 设施 ， 以 防范 潜在 的 安全 威胁 。 


Advanced Threat Analytics 


Advanced Threat Analytics(ATA) 是 微软 的 一 个 独立 产品 ,可 以 在 Windows Server 上 安装 , 它 有 入 侵 检测 系统 (IDS) 
的 功能 。IDS 系统 检测 攻击 并 警告 安全 管理 员 。 不同 的 供应 商 提供 被 称 为 入 侵 防 御 系 统 (IPS) 的 安全 产品 ， 它 不 仅 可 
以 检测 攻击 ， 而 且 可 以 防止 攻击 。 

ATIA 是 一 种 基于 网 络 的 入 侵 检测 系统 (NIDS), 它 同 时 使 用 基于 签名 和 基于 异常 的 检测 。ATA 使 用 基于 签名 的 方 
法 ， 帮 助 识别 已 知 的 恶意 攻击 和 技术 、 安 全 问题 和 风险 。 此 外 ， 基 于 异常 的 检测 分 析 、 学 习 和 识别 正常 和 异常 实体 
(用 户 、 设 备 和 资源 ) 行 为 。ATA 是 一 个 监视 Active Directory 活动 的 现场 解决 方案 。 它 检查 Active Directory 域 服 务 (AD 
DS) 流 量 ， 以 了 解 身 份 验证 模式 。AIA 是 一 种 行为 分 析 工 具 ,， 这 意味 看 恶意 黑客 不 能 再 隐藏 在 有 效 的 用 户 账户 后 面 。 
攻击 者 不 知道 账户 的 正常 用 户 行 为 在 基线 中 捕获 ， 因 此 即使 他 们 试图 缓慢 地 执行 一 些 更 改 ，ATA 也 会 检测 到 该 用 户 
模式 中 的 更 改 。 

ATA 安装 后 ， 系 统 处 于 分 析 阶 段 ; 这 是 一 个 简单 的 、 无 干扰 的 端口 镜像 配置 ， 它 复制 与 Active Directory 相关 
的 所 有 通信 流 ， 而 不 会 被 攻击 者 看 到 。 它 研究 所 有 AD DS 流量 ， 收 集 SIEM 和 其 他 来 源 的 相关 事件 。 

分 析 阶 段 之 后 是 学 习 阶 段 。 在 这 个 阶段 ，ATA 目 动 开始 学 习 ， 概 述 对 象 行为 。 它 识别 对 象 的 正常 行为 ， 并 不 停 
地 学 习 ， 以 更 新 用 户 、 设 备 和 资源 的 活动 。 

第 三 阶段 是 检测 阶段 ， 它 在 没有 用 户 参 与 的 情况 下 目 动 进行 。 它 查找 异 第 行为 ， 识 别 可 疑 活 动 。 只 有 当 异 瘦 活 
动 在 上 下 文 环 境 下 被 肾 合 时 ， 才 会 发 出 危险 信号 。 

最 后 一 个 阶段 是 警戒 阶段 。 在 这 个 阶段 ，ATA 在 一 个 简单 的 、 功 能 性 的 和 可 操作 的 时 间 线 上 报告 所 有 可 疑 的 活 
动 。 它 标识 了 参与 者 、 内 容 、 时 间 和 方式 。 对 于 每 一 项 可 疑 活动 ，ATA 都 提供 调查 和 补救 建议 。 

部 普 ATA 是 无 干扰 的 ， 不 会 影 啊 生产 系统 。ATA 根据 它 所 监视 的 流量 侦 听 并 给 出 报告 ， 因 此 对 网 络 没 有 影 啊 。 

有 关 Advanced Threat Analytics 的 更 多 信息 ， 请 访问 以 下 链接 : https://docs.microsoft.com/en-us/ advanced-threat- 
analytics/what-ls-ata。 
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8.11 攻击 的 证 据 


漏洞 检测 包括 在 系统 上 有 皮 现 攻击 者 已 经 入 侵 的 证 据 。 大 多 数 情况 下 ， 攻 击 者 会 将 证 据 留 在 受 损 的 计算 机 上 。 为 
找到 证 据 ， 需 要 对 操作 系统 、 应 用 程序 和 网 络 基础 结构 的 工作 原理 有 深入 了 解 ; 还 需要 使 用 不 同 的 安全 产品 ， 如 入 
侵 检测 系统 (IDS)。 例 如 ，Microsoft 的 Advanced Threat Analytics 有 目 动 的 程序 来 寻找 这 些 证 据 。 然 而 ， 如 果 知 道 去 
哪里 找 ， 就 可 能 会 在 发 生 违规 行为 时 找到 证 据 。 通 稍 情 况 下 ， 发 现 系统 有 问题 时 ， 会 怀疑 出 现 了 漏洞 。 例 如 ， 注 意 
到 服务 器 在 办 公 时 间 以 外 上 传 了 大 量 数据 ， 或 者 当前 使 用 的 处 理 器 资源 或 内 存 的 数量 有 异常 。 
事件 日 志 用 于 记录 计算 机 上 发 生 的 活动 。 当 审计 配置 计算 时 ， 它 记录 几乎 所 有 具有 安全 意义 的 事件 。 这 使 事件 
日 志 成 为 在 确定 计算 机 是 不 是 安全 小 洞 的 目标 时 的 第 一 个 检查 点 。IDS 还 使 用 事件 日 志 来 识别 恶意 活动 。 事 件 日 志 
应 该 定期 从 计算 机 中 移出 ， 因 为 老练 的 攻击 者 会 清除 事件 日 志 ， 以 隐藏 攻击 。Windows Server 有 转发 事件 日 志 的 选 
项 ; 这 是 一 种 内 置 技术 ， 人 允许 配置 为 在 鸣 一 个 位 置 目 动 转发 和 存储 事件 日 志 。 此 外 ， 党 理 员 应 该 创建 事件 日 志 的 存 
档 , 以 便 在 发 现 攻 击 时 , 调查 人 员 可 以 在 攻击 被 识别 之 前 查看 事件 日 志 , 找 出 攻击 者 对 系统 造成 危害 的 时 间 有 多 长 。 
管理 员 还 应 该 确保 配置 事件 日 志 ， 使 之 在 日 志 满 时 不 会 覆盖 事件 。 
攻击 者 经 党 在 攻击 的 特权 升级 阶段 危害 有 用户、 计算 机 和 服务 账 尸 。 杀 些 情 况 下 ， 可 通过 识别 账户 中 的 更 改 或 特 
权 组 (如 域 管理 员 组 ) 成 员 关 系 的 更 改 。 来 发 现 安全 漏洞 。 
如 果 发 现 新 账户 突然 出 现 的 证 据 , 组 织 就 可 能 遭受 了 安全 攻击 。 它们 可 以 是 本 地 账户 或 Active Directory 中 的 账 
尸 。 组 织 应 该 有 一 个 流程 来 控制 何 时 创建 账户 、 由 谁 创建 以 及 出 于 什么 原因 创建 账 己 。 攻 击 者 创建 的 新 账户 不 太 可 
能 具有 名 称 ， 这 表明 账户 是 可 疑 的 。 此 外 ， 准 备 充分 的 攻击 者 可 能 使 用 账户 名 与 他 们 从 社会 工程 中 了 解 到 的 组 织 名 
相关 联 ， 例 如 以 不 再 为 组 织 工 作 的 前 雇员 的 名 字 生 成 账户 。 
权限 的 增加 通常 表明 攻击 者 同 己 受 损害 的 账户 添加 了 权限 。 当 攻击 者 处 于 攻击 的 特权 升级 阶段 时 ， 这 通常 发 生 
在 标准 用 户 账 尸 、 服 务 账 尸 和 计算 机 账 己 上。 例如， 如 果 发 现 与 会 计 部 门 关 联 的 用 户 账户 是 Domain Admins 组 的 成 
员 ， 就 可 能 会 怀疑 发 生 了 安全 攻击 。 安 全 攻击 的 一 些 证 据 可 能 包括 : 
令 ”特权 组 的 成 员 发 生变 化 。 攻 击 者 将 组 (如 域 管 理 员 组 和 本 地 管理 员 组 ) 作 为 目标 ， 因 为 它们 提供 了 升级 权限 
的 简单 路 径 。 

令 ”创建 新 组 。 准 备 充 分 且 经 验 丰富 的 攻击 者 会 危害 组 织 的 Active Directory 环境 ， 创 建 的 组 具有 与 内 置 特 权 
组 (如 域 管理 员 和 本 地 管理 员 组 ) 类 似 的 特权 。 

为 检测 到 这 些 变化 ， 应 该 确保 对 账户 管理 活动 进行 定期 审计 。 


Windows Server 操作 系统 包括 用 于 分 析 包 含 安 全 审计 信息 的 日 志 的 工具 。 这 些 工具 提供 了 审计 功能 ， 可 以 使 用 
这 些 功 能 来 检测 任何 异 前 活动 或 未 经 授权 的 访问 符 试 。 

审计 策略 监视 与 安全 相关 的 不 同 活动 , 并 将 监视 结果 存储 在 审计 日 志 中 ,在 Computer Configuration 节点 下 使 用 Group 
Policy 编辑 器 ， 在 域 级 别 上 管理 审计 策略 。 在 Computer Configuration 中 ， 展 开 Policy\Windows Settings\Security Settings\ 
Local Policies， 然 后 单 击 Audit Policy， 如 图 8.14 所 示 。 


policy policy Setting 


2) Audit account logon events Not Defined 
2a Audit account management Not Defined 
a0 Audit 中 rectory service access Not Defined 
wa Audit logon events Not Defined 
wa Audit object access Not Defined 
wy Audit policy change Not Defined 
2 Audit prrvllege use Not Defined 
we Audit process tracking Not Defined 
wa Audit system events Not Defined 


图 8.14 Group Policy 管理 编辑 器 中 的 Audit Policy 设置 


表 8.6 定义 了 Windows Server 2016 域 控 制 器 上 的 每 个 审计 策略 。 
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审计 策略 设置 
Audit account logon 
events( 审 计 账 户 登 录 事 件 ) 
Audit account management 
(审计 账户 管理 ) 
Andit 
access (审计 目录 服务 访问 ) 
Audit logon events( 审 计 登 
录 事 件 ) 
Audit object access( 审 计 对 
象 访问 ) 
Audit policy change( 审 计 
策略 更 改 ) 
Audit privilege use( 审 计 权 
限 的 使 用 ) 
Audit process tracking( 审 
计 过 程 跟踪 ) 
Audit system events( 审 计 
系统 事件 ) 


directory service 
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表 8.6 ”审计 策略 设置 
说 明 


当 用 户 或 计算 机 登录 时 ， 使 用 Windows Server Active Directory 账户 进行 身份 验证 ， 生 成 事件 


审计 事件 ， 包 括 用 户 、 组 或 计算 机 账户 的 创建 、 删 除 或 修改 ， 以 及 用 户 密码 的 重 置 


用 户 试 图 访问 SACL( 系 统 访问 控制 列表 ) 中 指定 的 Active Directory 对 象 时 的 审计 事件 ， 可 在 
Active Directory 对 象 的 Properties Advanced Security Settings 对 话 框 中 看 到 该 列表 


用 户 以 交互 方式 (本 地 ) 登 录 到 计算 机 或 通过 网 络 (远程 ) 登 录 时 ， 生 成 事件 


审计 对 具有 自己 SACL 的 文件 、 文 件 夹 、 注 册 表 项 和 打印 机 等 对 象 的 访问 。 除 了 启用 这 个 审计 
策略 之 外 ， 还 必须 配置 对 象 的 SACL 中 的 审计 条 目 


审计 对 用 户 权限 分 配 策略 、 审 计策 略 或 信任 策略 的 更 改 


审计 权限 或 用 户 权 限 的 使 用 。 请 参阅 Group Policy 管理 编辑 器 中 有 关 此 策略 的 说 明文 本 


审计 事件 ， 如 程序 激活 和 进程 退出 。 请 参阅 Group Policy 管理 编辑 器 中 有 关 此 策略 的 说 明文 本 


审计 系统 重 局 、 关 闭 ， 审 计 影 响 系统 或 安全 日 志 的 更 改 


当然 ， 每 个 组 织 都 应 该 根据 目 己 的 安全 和 法 规 来 定制 自己 的 审计 策略 。 除 了 审计 登录 事件 之 外 ， 组 织 还 可 能 进 


择 审 计 文件 服务 器 上 不 同 级 别 的 访问 ， 比 如 访问 特定 文件 夹 及 其 内 容 的 成 功 或 失败 尝试 。 


要 配置 文件 级 审计 ， 必 须 完成 以 下 三 个 步 又: 


(1) 指定 审计 设置 。 
(2) 局 用 审计 策略 。 


(3) 评 信安 全 日 志 中 的 事件 。 
同文 件 或 文件 夹 的 SACL 中 添加 审计 条 目 ， 可 以 审计 对 文件 或 文件 夹 的 访问 。 为 此 ， 必 须 执行 以 下 步骤 ， 


如 图 8.15 所 示 。 


(1) 打开 文件 或 文件 夹 的 属性 对 话 框 ， 然 后 单 击 Security 选项 卡 。 
(2) 在 Security 选项 卡 上 ， 单 击 Advanced。 


(3) 点 击 Auditing。 


(4) 要 添加 条 目 ， 单 击 Edit。Auditing 选项 卡 将 在 编辑 模式 下 打开 。 
(5) 单 击 Add， 然 后 选择 要 审计 的 用 户 、 组 或 计算 机 。 
(6) 在 Auditing Entry 对 话 框 中 ， 选 择 审计 访问 的 类 型 。 


审计 成 功 和 失败 


一 家 从 事 全 新 产品 开发 的 软件 开发 公司 希望 在 不 同 的 文件 服务 器 上 安全 地 存储 他 们 的 项 目 数据 。 为 了 审计 对 安 


全 敏感 文档 的 访问 ， 配 置 为 在 其 文件 服务 器 的 所 有 数据 文件 夹 上 进行 成 功 尝试 和 失败 尝试 的 审计 。 然 而 ,， 过 了 一 段 
时 间 ， 他 们 意识 到 安全 日 志文 件 中 有 数 千 个 条 目 ， 这 些 条 目 很 难 分 析 ， 因 为 他 们 选择 审计 文件 服务 器 上 所 有 的 文件 
夹 ， 而 不 是 只 审计 包含 新 项 目 关键 数据 的 文件 夹 。 
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Auditing Entry for Finance 


Prineipat -Administrator (ADATUNMAdministrator) Select a principda 
本 ee 


ies to: | This folder, subfolders and files a 


Onby apply these suditing settings to objects and/or containers within this container 


Add a condition to limit the scope of this auditing entry. Security enents will be logoged nly if conditions are met, 


Bdd a torban 


图 8.15 审计 文件 夹 上 的 安全 设置 


使 用 一 个 或 多 个 访问 级 别 ， 可 以 在 指定 用 户 、 组 或 计算 机 试图 访问 资源 时 ， 对 成 功 或 失败 进行 审计 。 

可 以 审计 成 功 的 原因 如 下 : 

令 ”审计 成 功 的 访问 ， 以 验证 安全 权限 ， 不 允许 一 些 用 户 对 特定 文件 夹 的 权限 比 他 们 需要 的 更 多 。 

令 ”审计 成 功 的 访问 ， 来 确定 访问 用 户 不 应 该 被 允许 访问 ， 这 可 能 表明 一 个 未 经 授权 的 特权 。 

令 ”审计 失败 的 访问 ， 以 监控 未 经 授权 的 用 户 访 问 资源 的 符 试 。 

令 ”审计 失败 的 访问 ,来 确定 一 个 需要 访问 权限 的 用 户 访问 文件 或 文件 夹 的 失败 符 试 。 这 表明 权限 不 足以 满足 

业务 需求 。 

在 文件 或 文件 夹 的 安全 描述 符 中 完成 设置 后 , 应 该 局 用 审计 。 必 须 在 Group Policy 中 定义 适当 的 审计 策略 设置 。 
策略 设置 必须 应 用 于 包含 被 审计 对 象 的 服务 器 。 

现在 ， 已 经 完成 了 Group Policy 设置 ， 可 监视 和 解析 服务 器 安全 事件 日 志 中 的 事件 ， 这 些 事件 位 于 事件 碍 看 器 
控制 台 的 Windows log\security 中 。 

这 些 安全 审计 改进 可 以 通过 跟踪 精确 定义 的 活动 ， 帮 助 组织 遭 守 与 业务 相关 和 与 安全 相关 的 重要 规则 。 定 义 的 

令 ”管理 员 修改 包含 敏感 信息 的 服务 器 上 的 设置 或 数据 。 

令 ”员工 访问 一 个 重要 文件 。 

令 ”在 计算 机 或 文件 共享 上 ， 给 每 个 文件 、 文 件 来、 注册 表 项 应 用 正确 的 SACL。 


高 级 审计 策略 设置 

Windows Server 2016 还 在 Group Policy 管理 编辑 器 的 Computer Configuration\Policies\Windows Settings\ Security 
Settings 包含 高 级 审计 策略 设置 ， 如 图 8.16 所 示 。 

设置 如 下 : 

Account Logon( 账 尸 登录 ): 这 些 设置 允许 审计 和 任 证 的 验证 事件 以 及 与 Kerberos 相关 的 其 他 身份 验证 和 票据 操 
作 事件 。 域 环境 中 的 凭证 验证 发 生 在 域 控制 器 上 ， 这 意味 着 审计 条 目 记 录 在 域 控制 器 上 。 

Account Management( 账 户 管理 ): 可 对 具有 这 些 设 置 的 用 户 账户 、 计 算 机 账户 和 组 的 相关 修改 事件 进行 审计 。 
这 组 审计 设置 还 记录 密码 更 改 事件 。 

Detailed Tracking( 详 细 跟 踪 ): 这 些 设置 控制 对 加 密 事 件 、Windows 进程 创建 和 终止 事件 ， 以 及 RPC (远程 过 程 
调用 ) 事 件 的 审计 。 

DS Access(DS 访问 ): 这 些 审计 设置 涉及 对 AD DS 的 访问 ， 包 括 一 般 访 问 、 更 改 和 复制 。 

Logon/Logoff( 注 册 / 注 销 ): 这 组 设置 审计 标准 登录 和 注销 事件 。 还 审计 其 他 特定 于 账户 的 活动 ， 例 如 Internet 
协议 安全 性 (IPsec)、 网 络 集 略 服务 器 以 及 其 他 未 分 类 的 登录 和 注销 事件 。 

Object Access( 对 象 访问 ): 这 些 设 置 允许 审计 对 AD DS、 注 册 表 、 应 用 程序 和 文件 存储 的 任何 访问 。 
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Categories Configuration 
Account Logon Not contigured 
Account Management Not configured 
Detailed Tracking Not configured 
Not configured 
Not configured 


Not configured 
Policy Change Not configured 
Privilege Use Not configured 
System Not configured 
Global Object Access Auditing Not configured 


8.16 ”Group Policy 管理 编辑 器 中 的 高 级 审计 策略 设置 


Policy Change( 策 略 更 改 ): 在 配置 这 些 设置 时 ， 审 计策 略 设置 的 内 部 更 改 将 被 审计 。 

Privilege Use( 权 限 的 使 用 ): 当 配 置 这些 设 置 时 ，Windows Server 会 审计 在 Windows 环境 中 使 用 权限 的 尝试 。 

System( 系 统 ): 这 些 设置 用 于 审计 安全 子 系统 状态 的 更 改 。 

Global Object Access Auditing( 全 局 对 象 访问 审计 ): 这 些 设置 用 于 控制 一 台 或 多 台 计 算 机 上 所 有 对 象 的 SACL 
设置 。 当 使 用 Group Policy 配置 和 应 用 这 个 组 中 的 设置 时 ， 策 略 设置 的 配置 决定 了 SACL 的 成 员 资格 ， 而 SACL 是 
直接 在 服务 器 上 配置 的 。 

部 署 了 动态 访问 控制 的 组 织 可 以 利用 基于 表达 式 的 审计 ， 这 将 为 它们 带 来 额外 的 审计 功能 ， 例 如 根据 特定 的 分 
类 、 用 户 或 操作 对 文件 和 文件 夹 进行 审计 。 例 如 ， 基 于 文件 夹 分 类 进行 自动 审计 ， 以 进行 安全 访问 。 


AuditPol 

AuditPol (AuditPolexe) 是 一 个 命令 行 工具 ， 可 使 用 以 下 功能 管理 高 级 审计 策略 设置 : 

令 ”审计 个 人 电脑 的 配置 。 例 如 ， 可 以 使 用 AuditPol 管理 未 连接 到 Active Directory 域 的 个 人 计算 机 上 的 审计 
设置 。 

令 ”获得 当前 审计 设置 。 运 行 auditpol /get /category:* command， 可 以 路 所 有 高 级 审计 类 别 验证 当前 的 审计 设置 。 

倒 ”审计 设置 的 备份 和 恢复 。 可 以 使 用 AuditPol 从 一 台 计 算 机 上 备份 审计 设置 ， 并 在 为 一 台 计 算 机 上 恢复 它们 。 


事件 日 志 转 发 

分 析 许 多 不 同 服务 器 上 的 安全 日 志 可 能 是 一 项 难以 执行 的 任务 。 因 此 ， 可 在 Windows Server 中 使 用 事件 转发 ， 
其 中 远程 计算 机 转发 事件 。 事 件 转 发 有 两 种 类 型 : 源 发 起 的 转发 和 和 集合 发 起 的 转发 。 为 从 计算 机 中 收集 安全 事件 ， 
必须 验证 winrm 服务 是 以 管理 员 身 份 运行 的 。 在 Windows PowerShell 中 使 用 以 下 命令 : 

i 

配置 事件 源 计 算 机 后 ， 作 为 管理 员 ,， 应 该 在 收集 器 计算 机 的 高 级 命令 提示 符 下 ， 在 Windows PowerShell 中 运行 
以 下 命令 : 


wecutil gc 

然后 ， 必 须 使 用 Add-ADGroupMember cmdlet， 将 计算 机 添加 到 Event Log Readers Active Directory 组 ， 从 而 将 
收集 器 计算 机 账户 添加 到 每 个 源 计 算 机 上 的 Event Log readers 组 。 

Add-ADGroupMember -identity 'Event Log reader'-members AuditSRVS 

配置 完成 后 ， 束 准备 创建 一 个 新 的 订阅 ， 以 指定 希望 事件 源 转 发 给 事件 收集 器 的 事件 。 要 创建 一 个 新 的 订阅 ， 
可 执行 以 下 步骤 : 

(1) 以 常理 员 身份 运行 事件 查看 器 。 

(2) 在 控制 台 树 中 ， 单 击 Subscriptions。 

(3) 在 Actions 订单 上 ， 单 击 Create Subscription 并 输入 所 请 求 的 信息 ， 如 图 8.17 所 示 。 

(4) 在 Subscription name 中 ， 键 入 订阅 所 需 的 名 称 。 

(5) 在 Description 框 中 ， 输 入 可 选 的 摘 述 信息 。 

(6) 在 Destination log 框 中 ， 选 择 要 存储 收集 事件 的 日 志文 件 。 
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(7) 单 击 Add, 然后 选择 要 从 其 中 收集 事件 的 计算 机 。 单 击 Select Events, 以 显示 Query Filter 对 话 框 。 使 用 Query 
Filter 对 话 框 中 的 控件 指定 事件 必须 满足 的 收集 条 件 。 

(8) 在 Subscription Properties 对 话 框 中 ， 单 击 OK。 订 阅 将 被 添加 到 Subscriptions 窗 格 中 ， 如 果 操 作成 功 ， 订 阅 
的 状态 将 是 Active。 


Subscription Properties - Security Logs ~ 


Subscrnption name: ] Security Logs : 


Descnption: 


Destination log: Forwarded Events 


Subscription type and source computers 


Thrs computer contacts the selected source computers and provides the subscription. 


OO Source computer initiated 


Source computers in the selected groups must be configured through policy or 
local configuration to contact this computer and recerve the subscniption,. 


Events to collect: Select Events... = 


User account (the selected account must have read access to the source logs): 


Machine Account 


Change user account or configure advanced settings: Advanced... 


Cancel 


图 8.17 在 事件 查看 器 中 配置 订阅 


如 今 ，IT 部 门 依靠 Windows PowerShell 来 自动 管理 任务 。 因 此 ， 可 使 用 Windows PowerShell， 它 为 安全 审计 和 
分 析 审 计 日 志 提 供 了 cmdlet， 如 表 8.7 所 述 。 


表 8.7 用 于 管理 审计 日 志 的 Windows PowerShell cmdlet 


Windows PowerShell cmdlet 说 明 
Clear-EventLog 从 本 地 或 远程 计算 机 上 指定 的 事件 日 志 中 删除 所 有 条 目 
Get-Event 获取 事件 队列 中 的 事件 
New-Event 创建 一 个 新 事件 
New-EventLog 在 本 地 或 远程 计算 机 上 创建 新 事件 日 志和 新 事件 源 
Remove-Event 从 事件 队列 中 删除 事件 
Remove-EventLog 删除 事件 日 志 或 注销 事件 源 
Show-EventLoeg 显示 事件 查看 器 中 本 地 或 远程 计算 机 的 事件 日 志 
Write-EventLog 将 事件 写 入 事件 日 志 
Limit-EventLog 设置 限制 事件 日 志 大 小 和 条 目 年 龄 的 事件 日 志 属 性 


Windows PowerShell 允许 基于 特定 的 标准 来 检索 特定 的 事件 。 例 如 ， 如 果 想 检索 最 新 的 50 个 安全 事件 ， 可 以 
运行 以 下 命令 : 

Get—-EventLog -Newest J0 -LogName "Security" 

如 果 安 全 部 门 要 求 将 所 有 常理 命 令 登 录 到 一 个 独立 的 日 志 中 ， 可 以 使 用 PowerShell 模块 的 
LogPipelineExecutionDetails 属性 ， 并 将 其 设置 为 值 Stue， 从 而 启用 日 志 记 录 。 还 可 在 Administrative Template/ 
Windows Components/Windows PowerShell 中 配置 Group Policy， 来 启用 日 志 记 录 ， 如 图 8.18 所 示 。 
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Setting 
[| Turn on Module Logging 


[Ej Turn on PowerShell Script Block Logging 


三 Turn on Script Execution 
二 Turn on Powershell Transcnption 
图 8.18 Group Policy 管理 编辑 器 中 的 Windows PowerShell 日 志 设 置 


8.12 本章 要 点 


总 是 从 组 织 的 业务 需求 出 发 。 安 全 是 任何 组 织 最 关心 的 问题 之 一 。 然 而 ， 不 同类 型 的 组 织 需要 不 同 级 别 的 保护 
和 安全 策略 。 例 如 ， 如 果 将 一 家 出 售 报纸 的 公司 的 安全 程序 与 一 家 银行 机 构 的 安全 程序 进行 比较 ， 就 会 注意 到 存在 
巨大 的 差 开 。 本 章 学 习 了 许多 不 同 的 安全 技术 。 
问题 : 组 织 有 安全 策略 吗 ? IT 部 门 有 安全 程序 吗 ? 做 记录 了 吗 ? 本 章 列 出 的 哪些 安全 技术 最 适合 满足 组 
织 需求 ? 
答案 : 选择 什么 安全 技术 取决 于 组 织 的 业务 要 求 。 需 要 了 解 的 最 重要 的 事情 之 一 是 ， 安 全 性 与 成 本 和 用 户 
友好 的 解决 方案 不 成 比例 。 例 如 ， 密 码 越 安 全 ， 用 户 友 好 性 就 越 奔 。 这 是 因为 复 末 的 密码 对 攻击 者 来 说 更 
难 猜 到 ; 然而 ， 它 们 也 更 难 记 忆 。 无 法 记 住 密码 可 能 导致 用 户 将 密码 写 在 工作 地 点 的 笔记 上 。 说 到 成 本 ， 
部 署 的 安全 产品 越 专业 ， 成 本 就 越 高 。 组 织 必须 在 复杂 性 、 成 本 和 最 佳 安全 性 之 间 折 中 。 
执行 定期 的 安全 评估 。 许 多 管理 员 仅 依赖 于 安全 设备 的 品牌 ， 而 不 注意 设备 是 如 何 安装 和 配置 的 。 他 们 不 会 更 
新 操作 系统 或 恶意 软件 的 定义 。 当 组 织 中 出 现 安 全 泌 洞 时 ， 他 们 也 会 感到 非常 惊讶 。 
问题 : 如 何 防范 安全 漏洞 ? 
答案 : 我 们 总 是 建议 对 安全 解决 方案 进行 定期 的 安全 评估 一 一 甚至 让 道德 黑客 专家 来 模拟 不 同 的 攻击 ， 并 
生成 关于 组 织 的 基础 设施 安全 漏洞 级 别 的 报告 。 
尽 可 能 上 自动 化 流程 。IT 部 门 每 天 都 在 增长 ， 对 于 必须 管理 和 监视 公司 部 普 的 不 同安 全 解决 方案 的 管理 员 来 说 ， 
缺乏 目 动 化 工具 (例如 Windows PowerShell 和 Group Polic 只 是 一 个 非常 大 的 挑战 。 
问题 : 如 何 熟 练 使 用 目 动 化 工具 ? 
答案 : 创建 一 个 有 用 的 Windows PowerShell 脚本 库 ， 它 有 助 于 轻松 地 执行 必要 的 命令 。 了 人 解 Windows 
PowerShell 和 Group Policy 是 如 何 工作 的 ， 这 样 就 可 以 (例如 ) 一 次 在 100 台 计 算 机 上 配置 防火 墙 设置 。 在 
当今 世界 ， 手 工 配 置 一 个 系统 即使 不 是 不 可 能 的 ， 也 是 不 切实 际 的 。 使 用 目 动 化 工具 ， 可 以 在 报告 安全 问 
题 时 关闭 多 个 攻击 面 ， 或 者 在 不 同 的 客户 机 和 服务 器 上 同时 扫 摘 恶意 软件 。 


Active Directory 域 服 务 


Active Directory 域 服务 (AD DS) 最 早 是 在 Windows 2000 Server 中 引入 的 ( 它 存 在 于 Windows NT 中 ， 称 为 
Windows NT 域 )。Active Directory 是 兼容 LDAP 的 目录 服务 。 目 录 服 务 可 以 退 漳 到 Windows 操作 系统 出 现 之 前 。 
本 章 将 讨论 Windows Server 2016 中 的 Active Directory。 因 为 Active Directory 是 一 个 非常 大 的 主题 ， 所 以 我 们 跳 过 
概述 性 的 内 容 ， 介 绍 管理 员 经 稍 处 理 的 主题 。 这 意味 痢 本 章 不 详细 介绍 茶 些 主题 (甚至 是 茶 些 新 特性 )。 


本 草 内 容 : 

令 ”设计 Active Directory 森林 和 域 
令 ”设计 组 织 单元 结构 

令 ”Group Policy 的 实现 和 故障 排除 


9.1 ”特性 概述 


每 个 新 版 本 的 Windows Server 都 为 Active Directory 引入 了 新 功能 。 用 户 应 该 熟悉 这 些 特性 ， 以 解决 环境 中 的 
挑战 。 尽 管 本 节 中 的 列表 并 不 详尽 ， 但 它们 确实 涵盖 了 主要 的 新 特性 。 


9.1.1 Windows Server 2016 中 AD DS 的 改变 


在 Windows Server 2016 中 ， 引 入 了 以 下 新 功能 和 改变 ;: 

Privileged Access Management (特权 访问 管理 ，PAM): PAM 将 特权 用 户 账 户 与 Active Directory 环境 的 其 他 
部 分 隔离 开 来 。 为 此 ， 它 引入 了 Active Directory 森林 和 域 、Microsoft Identity Manager (MIM)、 工 作 流 和 按 需 升级 
特权 等 新 功能 。 

Windows Server 2003 即将 终结 : 换 句 话说 ， 不 支持 Windows Server 2003。 因 此 ， 如 果 仍 在 环境 中 运行 它 ， 需 
要 远离 它 。Windows Server 2003 和 森林 功能 级 别 和 域 功能 级 别 现在 都 不 赞成 使 用 了 。 这 意味 着 目前 仍 文 持 它 们 ， 但 
很 快 束 不 再 支持 它们 了 。 


9.1.2 Windows Server 2012 R2 中 的 功能 


如 果 还 没有 机 会 了 解 Windows Server 2012 R2 中 引入 的 新 功能 ， 下 面 介 绍 这 些 新 的 或 改进 的 功能 ， 它 们 继续 在 
Windows Server 2016 中 使 用 : 

Workplace Join: 这 一 特性 允许 用 户 将 个 人 设备 与 Active Directory 域 相关 联 。 这 与 身份 验证 有 关 ， 因 为 可 将 其 
用 于 条 件 访问 。 例 如 ， 假 设 有 一 个 雇员 Web 应 用 程序 。 只 有 用 户 拥 有 公司 的 设备 或 与 域 相关 联 的 个 人 设备 ， 才 能 
被 授予 访问 权限 。 有 了 Workplace Join， 就 可 以 这 样 做 了 ! 

条 件 访问 : 这 个 特性 与 Active Directory 联合 服务 (AD FS) 紧 密 相 连 ， 第 11 章 专门 介绍 该 服务 。 通 过 条 件 访 问 ， 
可 以 根据 访问 控制 列表 (ACL) 和 其 他 因 系 (如 源 网 络 和 用 户 的 设备 类 型 )， 来 决定 是 否 授 予 用 户 访问 权 。 

多 因素 身份 验证 : 这 个 特性 还 依赖 于 AD FS。 这 里 列 出 它 是 因为 它 是 对 里 份 验证 的 增强 ， 而 号 份 验证 最 终 由 
Active Directory 处 理 。 
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9.1.3 Windows Server 2012 中 的 功能 


如 果 还 没有 机 会 了 解 Windows Server 2012 引入 的 新 功能 ， 下 面 介 绍 了 这 些 新 的 或 改进 的 功能 ， 它 们 继续 在 
Windows Server 2016 中 使 用 : 

虚拟 化 增强 : 从 Windows Server 2012 开始 ， 可 以 对 域 控制 器 使 用 检查 点 (快照 )。 还 可 以 克隆 域 控制 器 。 这 两 种 
增强 都 允许 组 织 接受 域 控制 器 的 虚拟 化 。 

动态 访问 控制 (DAC): 有 了 DAC， 就 可 以 动态 计算 资源 的 权限 。 例 如 ， 如 果 用 户 在 HR 部 门 工 作 ， 并 使 用 公司 
的 设备 ， 就 可 以 访问 共享 文件 炎 。 

Active Directory 回收 站 : 我 们 很 熟悉 Windows 回收 站 。Active Directory 回收 站 实际 上 是 相同 的 特性 ， 只 是 用 
于 目录 对 象 (如 用 户 对 象 、 组 对 象 和 计算 机 对 象 )。 

细 粒 度 的 密码 策略 : 管理 员 应 该 拥有 比 定 期 终端 用 户 更 强 的 密码 吗 ? 通 痢 , 答案 是 肯定 的 。 但 在 Windows Server 
2012 之 前 ， 在 没有 第 三 方 软件 的 情况 下 ，Active Directory 并 未 提供 实现 这 一 目标 的 途径 。 目 Windows Server 2012 
以 来 ， 可 以 拥有 多 个 密码 策略 ， 每 个 策略 都 有 唯一 的 设置 。 


9.2 ”回顾 PAM 


虽然 第 8 章 讨论 了 PAM(Privileged Access Management， 特 权 访 问 管理 )， 但 是 这 里 从 一 个 稍微 不 同 的 角度 来 讨 
论 它 。 如 前 所 述 ，PAM 帮助 保护 网 络 免 受 攻击 ， 特 别 是 凭证 攻击 。 
PAM 是 由 多 种 技术 组 成 的 概念 ， 为 IT 管理 提供 更 好 的 安全 性 。PAM 的 关键 组 件 包括 : 
新 森林 中 新 的 Active Directory 域 。 
从 现 有 森林 到 新 森林 的 单 同 信任 。 
Microsoft Identity Manager(MIM) 实 现 。 
及 时 省 理 (JIT): JIT 是 一 个 有 时 间 限 制 的 功能 ， 允 许 省 理 员 临 时 提升 其 访问 权限 ， 以 执行 特定 任务 。 与 其 
总 是 拥有 访问 权限 ， 不 如 在 短 时 间 内 ( 当 需 要 时 ) 获 得 它们 。 
令 ”Just Enough Administration (JEA)JEA 是 一 个 基于 PowerShell 的 工具 包 , 它 允 许 定义 可 接受 的 定理 命令 和 计 
算 机 ， 管 理 员 可 以 将 它们 用 作 工 作 的 一 部 分 。 
图 9.1 显示 了 具有 关键 组 件 的 高 级 PAM 实现 。 
现 有 的 企业 环境 
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在 图 9.1 中 ， 现 有 的 环境 显示 在 顶部 。 有 一 个 现 有 的 Active Directory 环境 和 一 个 服务 器 环境 。 底 层 是 一 个 新 环 
境 。 它 专门 用 于 管理 功能 GT 人 员 从 事 管 理工 作 )， 并 通过 增强 的 安全 性 (无 论 是 配置 还 是 其 他 软件 ) 强 化 功能 。 在 新 
环境 中 ， 构 建 了 所 有 新 的 服务 器 和 服务 ; 

部 署 新 的 服务 器 。 不 要 使 用 现 有 环境 中 的 介质 、 更 新 、 脚 本 、 补 丁 或 部 署 服务 。 这 遵循 了 “假定 被 破坏 ”的 思 
维 模式 ， 这 种 思维 模式 要 求 假 定 现 有 环境 已 经 暴露 了 足够 长 的 时 间 ， 被 秘密 地 破坏 了 。 在 不 依赖 现 有 环境 的 情况 下 
进行 部 署 ， 在 部 署 过 程 中 ， 可 以 尽量 减少 新 环境 受到 破坏 的 机 会 。 

部 署 一 个 新 的 单 域 森林 。 此 森林 将 包含 管理 IT 账户 ， 但 不 包含 一 般 用 户 账户 。 

让 现 有 域 信任 新 域 ， 实 现 单 向 信任 。 信 任 可 以 是 森林 信任 或 域 信任 。 

在 新 域 中 部 署 Microsoft ldentity Manager (MIM) 环 境 。 在 许多 环境 中 ， 这 可 能 由 多 个 服务 器 组 成 。 需 要 MIM 
服务 器 、MIM 门户 的 服务 器 (基于 SharePoinD 和 数据 库 服 务 器 (SQL Server)。 

在 新 域 中 部 署 特权 访问 工作 站 (PAW)。 管 理 员 使 用 这 些 工作 站 执行 管理 任务 。 与 部 署 服务 器 一 样 ， 不 要 使 用 依 
赖 于 现 有 领域 中 的 任何 技术 或 服务 的 部 署 方 法 。 

一 旦 配置 好 , 下 面 是 PAM 的 工作 方式 。 如 果 遇 到 麻烦 , 需要 在 公司 环境 的 DNS 服务 器 上 对 问题 进行 故障 排除 。 
首先 在 管理 域 中 登录 到 PAM 上 。 然 后 请 求 访问 ， 以 便 在 DNS 服务 器 上 执行 管理 工作 。 可 以 通过 PowerShell 
(New-PAMRequest), 或 通过 API 或 REST 端点 发 出 请 求 。 根 据 配置 ， 请 求 将 由 管理 员 自动 批准 或 手动 批准 ， 然 后 将 
一 个 管理 账户 添加 到 必要 的 组 ， 以 解决 DNS 服务 器 的 问题 。 所 有 这 些 都 可 能 在 几 秒 钟 内 发 生 。 然 而 ， 对 于 许多 管 
理 员 来 说 ， 这 是 一 种 新 的 工作 方式 ， 在 实现 它 之 前 权衡 它 带 来 的 开销 是 很 重要 的 。 在 高 安全 性 的 环境 中 ， 即 使 管理 
开销 很 高 (因为 安全 性 高 于 一 切 )， 这 种 类 型 的 实现 通常 也 很 简单 。 


9.3 ”设计 注意 事项 


本 节 讨 论 如 何 规划 Active Directory 环境 ， 无 论 是 为 了 全 面 检查 、 重 新 设计 还 是 全 新 构建 (greenfield)。 有 几 个 重 
要 的 设计 元 素 需 要 考虑 。 许 多 厂商 在 设计 时 都 着 眼 于 简洁 ， 现 在 已 经 有 了 改变 。 但 是 简洁 是 一 件 好 事 ， 不 仅 对 管理 
员 是 这 样 ， 对 其 他 IT 团队 和 最 终 用 户 也 是 这 样 ， 这 些 人 员 希 望 Active Directory 始终 可 用 、 性 能 最 佳 ， 并 为 安全 环 
境 提供 基础 。 微 软 现 在 正 将 简洁 构建 到 其 偏爱 的 体系 结构 中 ， 并 鼓励 倾向 于 简洁 性 的 设计 。 


9.3.1 森林 和 域 


森林 是 Active Directory 环境 中 最 顶层 的 容 船 。 下 面 是 域 (全 少 一 个 域 )。 在 这 些 域 之 下 是 对 象 ， 如 用 户 、 计 算 机 
和 组 。 和 森林 有 两 个 专用 的 命名 上 下 文 : 模式 命名 上 下 文 和 配置 命名 上 下 文 。 命 名 上 下 文 只 是 单独 复制 的 整个 目录 的 
一 部 分 。 第 三 个 命名 上 下 文 一 一 域 信 名 上 下 文 一 一 是 每 个 域 的 一 部 分 。 

森林 是 安全 的 边界 。 这 是 Windows Server 2000 的 一 个 变化 ， 当 时 域 被 认为 是 安全 边界 。 如 果 听 到 有 人 说 安全 
边界 ， 他 们 指 的 是 完全 分 隔 的 独立 森林 。 一 个 森林 可 以 拥有 一 组 党 理 员 ， 劝 一 个 森林 则 拥有 态 一 组 党 理 员 ， 它 们 可 
以 只 管 理 目 己 的 森林 。 对 于 单个 森林 中 的 多 个 域 ， 一 个 域 中 的 管理 员 可 以 对 男 一 个 域 进行 未 经 授权 的 访问 。 因 此 ， 
在 需要 边界 的 高 度 安全 环境 中 使 用 森林 。 

域 是 森林 中 最 上 层 的 容器 。 域 是 一 个 人 逻辑 边界 ， 将 域 特定 的 对 和 象 与 森林 中 的 其 他 域 分 隔 开 来 。 例如 ， 有 一 个 域 
用 于 欧洲 的 用 户 ， 男 一 个 域 用 于 北美 的 用 户 。 和 森林 中 至 少 有 一 个 域 。 男 外 ， 还 可 以 有 更 多 的 域 。 其 他 域 下 的 域 称 为 
子 域 。 子 域 以 上 的 域 称 为 父 域 。 最 上 面 的 域 称 为 森林 根 域 。 图 9.2 显示 的 域 contoso.com 具有 多 个 子 域 。 

知道 森林 和 域 是 什么 后 ， 该 如 何 确定 需要 多 少 和 森林 和 域 ? 下 面 分 析 这 个 过 程 。 

首先 要 注意 : 总 是 从 一 个 森林 和 一 个 域 开始 。 直 到 找到 一 个 好 的 理由 拥有 更 多 的 森林 或 域 。 很 多 情况 下 ， 回 顾 
了 需求 和 “好 处 ”之 后 会 发 现 ， 只 使 用 一 个 森林 和 一 个 域 通 第 可 以 满足 需求 或 超过 需求 。 如 果 可 以 满足 需求 ， 束 可 
以 幸运 地 维护 简单 的 环境 。 下 面 是 需要 考虑 多 个 森林 的 一 些 现实 因 系 。 

出 于 法 律 、 兼 容 或 安全 方面 的 考虑 ， 需 要 分 开 管 理 Active Directory 部 分 。 这 种 情况 下 ， 多 重 森 林 可 能 是 唯一 
可 行 的 选择 。 因 为 森林 是 安全 边界 ， 可 能 需要 有 多 个 森林 来 满足 组 织 的 需求 。 微 软 提倡 使 用 安全 、 专 用 的 森林 ， 用 
于 凭证 分 配 。 这 称 为 增强 安全 管理 环境 (ESAE)， 有 时 也 称 为 红 树 林 设 计 。 在 这 种 环境 中 ， 所 有 管理 工作 都 通过 专用 
的 管理 客户 机 在 安全 森林 中 执行 。 
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图 9.2 森林 和 域 


需要 运行 应 用 程序 或 服务 的 独立 实例 ， 每 个 实例 都 需要 上 自己 的 森林 。 例 如 ，Microsoft Exchange Server 可 以 在 
森林 中 拥有 一 个 Exchange 组 织 。 如 果 公 司 的 两 个 部 门 有 一 个 单独 的 Exchange 组 织 ， 每 个 部 门 就 需要 有 一 个 森林 。 
当 应 用 程序 修改 模式 ， 并 需要 部 曹 应 用 程序 的 独立 实例 时 ， 这 种 场景 很 泗 见 。 

正在 进行 合并 、 收 购 或 剥离 。 如 果 公 司 与 为 一 家 公司 合并 ,收购 男 一 家 公司 , 或 将 一 个 部 门 拆 分 成 独立 的 实体 ， 
可 能 会 发 现 必须 拥有 多 个 森林 。 菏 些 情况 下 (如 合并 )， 多 个 森林 可 能 是 暂时 的 (最 终 目标 是 让 合并 后 的 新 公司 拥有 一 
个 森林 )。 

接 下 来 ， 看 看 一 些 现实 世界 中 的 注意 事项 ， 它 们 可 能 促使 我 们 考虑 多 个 域 (在 单个 森林 中 )。 

和 希望 对 公司 部 门 进行 逻辑 分 离 ， 以 便 将 用 户 、 组 和 计算 机 分 隔 开 来 。 可 能 有 一 组 管理 员 来 管理 一 个 域 ， 另 一 组 
常理 员 管 理 另 一 个 域 。 注 意 ， 为 了 真正 实现 安全 隔离 ， 应 该 使 用 独立 的 和 森林。 在 具有 多 个 域 的 单个 森林 中 ， 所 有 管 
理 员 都 必须 信任 整个 Active Directory 环境 。 

在 拥有 数 十 万 用 户 的 大 型 环境 中 ， 可 能 需要 有 多 个 域 来 支持 Active Directory 复制 。 如 果 没 有 多 个 域 ， 由 于 市 
宽 限 制 ， 可 能 最 终 无 法 持续 成 功 地 复制 。 这 种 情况 下 ， 可 部 羞 多 个 域 来 控制 复制 ， 并 减少 复制 的 网 络 需求 。 

不 要 瑟 记 考虑 非 生 产 需 求 。 至 少 要 有 一 个 非 生产 森林 ， 访 森林 至 少 要 有 一 个 域 来 支持 非 生 产 需求 ， 比 如 开 及 和 
测试 。 


9.3.2 ”Active Directory 信任 


Active Directory 信任 是 两 个 森林 中 或 两 个 域 之 间 的 关系 ， 多 许 用 户 在 它们 之 间 进 行 无 缝 的 身份 验证 。 在 一 个 简 
单 环境 中 , 例如 只 有 一 个 森林 和 一 个 域 的 环境 中 , 不 需要 信任 。 只 有 当 拥 有 多 个 域 或 多 个 森林 时 ,信任 才 会 起 作用 。 
下 面 看 看 需要 信任 的 最 芝 见 原因 。 

需要 一 个 森林 中 的 账户 来 访问 另 一 个 森林 中 的 资源 。 尽 管 可 以 在 没有 信任 的 情况 下 这 样 做 , 但 用 户 体验 会 下 降 。 
如 果 没 有 信任 ， 用 户 在 访问 其 他 森林 中 的 资源 时 必须 提供 赁 证。 有 了 信任 ， 用 户 可 以 无 颖 地 对 其 他 森林 中 的 资源 进 
行 导 份 验证 ， 束 好像 资源 与 它们 的 用 户 账 户 位 于 同一 森林 中 一 样 。 

需要 每 个 森林 中 的 管理 员 能 够 管理 两 个 森林 中 的 对 象 和 资源 。 这 在 合并 场景 中 很 币 抑 。 假 设 有 两 家 公司 合并 。 
每 家 公司 都 有 支持 整个 环境 的 管理 员 ( 将 来 的 打算 是 所 有 管理 员 都 在 一 个 合并 后 的 公司 的 同一 个 团队 中 工作 )。 虽 然 
有 两 个 森林 ， 但 是 信任 文 持 无 颖 的 跨 森 林 上 身份 验证 。 

一 个 森林 有 多 个 域 。 树 结构 有 多 个 子 域 ， 当 来 目 其 中 一 个 子 域 的 用 尸 需要 使 用 其 他 树 中 的 子 域 进行 喘 份 验证 
时 ， 需 要 最 优 的 性 能 。 请 参阅 图 9.3， 了 解 一 个 快捷 信任 的 示例 。 
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图 9.3 信任 
在 图 9.3 中 ,， 有 一 个 森林 具有 多 个 域 。 假设 在 west.na.contoso.com 上 的 用 户 需 要 对 east.eu.contoso.com 进行 身份 
验证 。 这 种 情况 下 ， 如 果 没 有 快捷 信任 ， 用 户 必 须 同 上 遍历 域 树 (west.na.contoso.com、na.contoso.com、contoso.com)， 
然后 同 下 遍历 男 一 个 域 树 (contoso.com、eu.contoso.com、east.eu.contoso.com) 进 行 结 份 验证 。 通 过 快捷 人 信任， 身份 验 
证 可 以 直接 在 west.na.contoso.com 和 east.eu.contoso.com 之 间 进 行 。 这 大 大 提高 了 身份 验证 的 性 能 。 


9.3.3 Active Directory 网 站 


在 设计 森林 和 域 之 后 ,需要 转向 站 点 设计 。 站 点 和 站 点 的 链接 是 Active Directory 复制 的 基础 ,在 Active Directory 
中 , 站 点 是 物理 位 置 (如 办 公 室 或 数据 中 心 ) 或 一 组 连接 良好 (可 靠 和 快速 连接 ) 的 位 置 ( 办 公 室 、\ 数据 中 心 ) 的 逻辑 指定 。 
网 站 用 来 方便 Active Directory 复制 , 让 客户 找到 最 接近 的 域 控制 器 或 其 他 站 点 支持 的 服务 。 当 正确 地 设计 站 点 拓扑 
时 ， 可 以 确保 复制 是 高 效 的 ， 优 化 使 用 广域网 带宽 。 例 如 ， 当 波士顿 的 用 户 需 要 进行 身份 验证 时 ， 访 用户 可 以 在 波 
士 顿 进行 身份 验证 ， 而 不 必 通 过 WAN 去 往 几 千 英 里 以 外 的 位 置 。 
下 面 看 看 站 点 设计 的 注意 事项 。 
令 ”应 该 为 任何 容纳 至 少 一 个 域 控制 器 的 位 置 创 建 Active Directory 站 点 。 这 人 允许 位 于 同一 位 置 的 客户 端 使 用 
本 地 域 控制 器 。 
急 。” 应 该 为 基于 Active Directory 站 点 定位 的 应 用 程序 服务 器 创建 一 个 站 点 。 例 如 ， 使 用 Active Directory 站 扣 
可 找到 分 布 式 文件 系统 名 称 空 间 (DFS-N)。 如 果 将 DFS-N 服务 器 放 在 某 个 位 置 ， 则 该 位 置 应 该 有 一 个 关联 
的 站 点 ， 以 确保 用 户 可 以 根据 其 位 置 定位 服务 器 。 
令 ”如 果 站 点 有 可 靠 、 快速 的 连接 ,， 且 站 点 之 间 的 延迟 小 于 10 ms， 就 应 该 考虑 把 它们 结合 成 一 个 站 点 。 但 是 ， 
如 果 出 于 其 他 原因 想 分 隔 站 点 ， 那 么 单独 的 站 点 也 是 可 以 的 。 例 如 ， 如 果 在 这 两 个 位 置 都 有 DFS-N 服务 
器 ,即使 这 些 站 点 的 连接 速度 快 .可 靠 旦 延迟 低 , 也 可 能 希望 确保 一 个 位 置 的 用 户 在 他 们 的 位 置 使 用 DFS-N 
服务 器 。 
下 面 使 用 一 个 具有 四 个 站 点 的 虚构 组 织 来 讨论 一 些 场景 。 首 先 查看 图 9.4。 
该 组 织 有 四 个 站 点 : 站 点 1( 总 部 )、 站 点 2、 站 点 3 和 站 点 4。 我 们 正在 基于 这 些 物 理 位 置 设 计 Active Directory 
站 点 1: 这 是 总 部 站 点 。 这 是 大 多 数 工 人 居住 的 地 方 。 它 也 是 主 数据 中 心 的 所 在 地 。 站 点 1 需要 一 个 Active 
Directory 站 点 和 至 少 两 个 域 控 制 器 。 
站 点 2: 这 是 一 个 分 公司 的 网 站 。 它 直接 连接 到 站 点 1， 具 有 高 带宽 、 低 延迟 的 连接 。 站 点 2 没有 任何 服务 器 。 
因此 ， 我 们 应 该 考虑 没有 关联 的 Active Directory 站 点 。 相 反 ， 可 将 站 点 2 子 网 与 站 点 1 相关 联 。 因 此 ， 站 点 2 中 的 
用 户 将 通过 站 点 1 执行 身份 验证 和 服务 。 
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图 9.4 网 站 设计 


站 点 3: 这 是 一 个 分 文 办 公 室 ， 是 用 中 等 带宽 连接 到 站 后 1 的 目录 。 如 有 果 站 点 3 将 拥有 服务 器 或 站 点 3 拥有 超 
过 100 个 用 户 ， 则 应 该 为 站 点 3 创建 一 个 关联 的 Active Directory 站 点 。 如 果 站 点 有 少量 用 户 ， 比 如 25 人， 那么 可 
以 选择 不 拥有 关联 的 站 点 或 任何 域 控 制 器 。 相 反 ， 可 以 将 站 点 的 子 网 与 站 点 1 相关 联 。 然 而 ， 关 键 指标 是 延迟 。 如 
果 延 迟 很 长 ， 则 建议 将 域 控 制 器 部 夏 到 站 后。 

站 点 4: 这 是 一 个 销售 办 公 室 ， 但 是 没有 直接 连接 到 站 点 1。 站 点 4 与 站 反 2 和 站 点 3 直接 相连 ， 但 两 者 连接 
的 带宽 都 很 低 。 在 这 个 场景 中 , 应 该 有 一 个 Active Directory 站 点 和 两 个 域 控制 器 。 这 人 允许 站 点 4 的 用 户 在 本 地 工作 ， 
而 不 必 依 赖 于 低 带 冤 ( 以 及 到 总 部 的 双 跳 连接 )。 用 户 也 很 可 能 需要 访问 站 点 1 中 的 资源 ， 但 是 如 果 能 够 在 本 地 执行 
号 份 验证 和 一 些 服务 ， 这 将 有 助 于 改善 用 尸体 验 。 如 果 站 点 4 有 直接 的 Internet 连接 (特别 是 如 果 该 连接 好 于 办 公 室 
之 则 的 连接 )， 那 么 使 用 基于 云 的 域 控制 器 对 于 站 点 4 是 可 行 的 。 可 将 两 个 域 控制 器 部 普 到 公共 云 上 ， 并 通过 持久 
VPN 或 类 似 的 方式 与 这 些 域 控制 器 进行 连接 。 

网 站 链 路 的 设计 

设计 站 点 布 局 后 ， 需 要 将 注意 力 转 同 站 扩 链 路 设计 。 站 点 链 路 将 Active Directory 站 点 连 接 在 一 起 以 局 用 复制 。 
每 个 站 后 都 应 该 有 一 个 站 反 链 路 。 看 看 前 面 的 图 ， 用 站 操 链 路 信息 进行 了 修改 ， 这 次 主要 关注 站 所 链 路 和 成 本 。 
9.5 显示 了 站 扩 链 路 信息 。 


图 9.5 网 站 链 路 的 设计 
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在 图 9.5 中 ， 有 4 个 站 点 ， 我 们 选择 将 一 个 Active Directory 站 点 关联 到 每 个 站 点 上 上。 现在， 必须 计算 出 站 点 链 
路 和 站 点 链 路 成 本 。 下 面 看 看 每 个 站 点 并 讨论 细节 。 

站 点 1: 这 是 总 部 站 点 。 它 实际 连接 到 站 点 2 和 站 点 3。 但 是 请 记 住 ， 站 点 链 路 并 不 意味 着 是 物理 网 络 连接 的 
逻辑 表示 。 虽 然 有 时 是 这 样 ， 但 在 这 个 网 络 上 ， 到 站 点 4 有 两 条 路 径 ， 通过 站 点 2 或 通过 站 点 3。 由 于 站 点 3 和 站 
点 4 之 间 的 带宽 较 低 ， 因 此 应 该 选择 通过 站 点 2 进行 复制 。 默 认 情 况 下 ， 站 点 链 路 是 桥接 的 。 这 意味 着 它们 是 可 传 
递 的 。 虽 然 该 图 没有 显示 站 点 1 和 站 点 4 之 间 的 站 点 链 路 ， 但 是 复制 仍然 是 可 能 的 (通过 增加 可 用 路 径 的 成 本 )。 

站 点 2: 站 点 2 和 站 点 3 之 间 的 复制 是 如 何 进行 的 ? 有 两 条 路 。 如 果 站 点 链 路 的 成 本 相等 (或 者 站 点 链 路 成 本 更 
倾向 于 站 点 2 到 站 点 4， 而 不 是 站 点 3 到 站 点 人， 复制 流量 就 通过 低 带宽 连接 进行 。 这 并 不 理想 。 相 反 ， 确 保 站 点 
链接 成 本 更 倾 问 于 站 点 2 到 站 点 1， 而 不 是 站 点 3 到 站 点 1 (如 图 9.4 所 示 )。 

站 点 3: 站 点 3 和 站 点 2 很 像 ， 但 是 带宽 更 少 ， 对 站 点 1 的 延迟 也 更 高 。 在 这 个 场景 中 ， 和 希望 确保 到 其 他 站 点 
的 复制 不 会 通过 连接 到 站 点 4 的 低 带 宽 进行 。 

站 点 4: 由 于 站 点 4 与 站 点 3 之 间 的 带宽 连接 较 低 ， 因 此 将 站 点 链 路 成 本 配置 得 较 高 ， 以 确保 该 路 由 不 是 复制 
的 首选 。 当 用 户 试 图 在 附近 找到 一 台 DFS-N 服务 器 时 ， 还 会 使 用 站 点 链 路 成 本 。 如 果 DFS-N 服务 器 位 于 站 点 4 中 ， 
就 希望 将 其 他 站 点 中 的 用 户 使 用 这 些 服务 器 的 机 会 降 到 最 低 ( 如 果 其 他 站 点 中 有 其 他 DFS-N 服务 器 可 用 )。 


9.3.4 Active Directory 复制 


虽然 Active Directory 在 构建 复制 基础 结构 和 管理 复制 方面 通常 做 得 很 好 ， 但 应 该 对 其 工作 原理 有 很 好 的 了 解 ， 
以 便 为 故障 排除 和 解决 问题 做 好 准备 ， 或 者 设计 一 个 满足 特定 公司 需求 的 环境 。 某 些 情况 下 ， 可 能 不 得 不 更 改 复制 
配置 ， 以 获得 最 佳 结 果 。 

默认 的 Active Directory 复制 拓扑 由 一 个 名 为 KCC( 知 识 一 致 性 检查 器 ) 的 组 件 生成 。KCC 在 森林 中 的 每 个 域 控 
制 器 上 运行 。 它 使 用 配置 的 站 点 和 站 点 链接 数据 来 生成 复制 拓扑 。KCC 负责 管理 Active Directory 复制 配置 和 数据 ， 
如 站 点 、 域 控制 器 、 全 局 目录 服务 器 和 站 点 链接 。 作 为 一 名 管理 员 ， 如 果 茶 些 站 点 之 间 的 连接 有 限 ; 或 者 如 果 多 条 
路 径 可 用 ， 需 要 强制 沿 厦 某 个 网 络 路 径 复 制 ， 或 者 如 果 需 要 使 用 计划 复制 或 SMTP 复制 ， 则 需要 调整 KCC 生成 的 
复制 拓扑 。 

Active Directory 有 三 个 目录 分 区 。 这 些 分 区 通常 称 为 命名 上 下 文 。 每 个 命名 上 下 文 都 是 一 个 复制 单元 。 

模式 : 模式 命名 上 下 文 定 义 了 类 、 对 象 和 属性 。 这 个 命名 上 下 文 由 森林 中 的 所 有 域 共 享 。 它 被 复制 到 森林 中 的 
所 有 域 控制 器 。 

配置 : 配置 命名 上 下 文 处 理 森 林 拓 9 扑 、 和 森林 设置 和 域 设 置 。 例 如 ， 它 包含 所 有 域 、 域 控制 占 和 全 局 目录 服务 器 
的 列表 。 在 名 为 contoso.com 的 域 中 ， 配 置 命 名 上 下 文 的 DN 是 CN=Configuration，DC=contoso，DC=com。 这 个 命 
名 上 下 文 是 森林 范围 的 ， 并 且 复 制 到 森林 中 的 所 有 域 控 制 器 。 

域 : 域 命名 上 下 文 包含 捍 个 域 的 用 性、 组 、 计 算 机 和 其 他 对 象 。 例 如 ， 用 尸 和 计算 机 对 象 存储 在 域 分 区 中 。 域 
命名 上 下 文 包含 域 的 完整 副本 ,但 不 包含 森林 中 其 他 域 的 副本 。 全 局 目录 服务 器 包含 域 的 完整 副本 和 和 森林 中 所 有 其 
他 域 的 部 分 副本 。 

有 两 种 复制 类 型 : 

RPC over IP: 这 种 类 型 的 复制 是 站 点 内 (intrasite) 复 制 和 站 点 间 (intersite) 复 制 的 默认 机 制 。 这 是 首选 ， 因 为 它 
是 一 个 高 速 的 协议 。 默 认 情 况 下 ， 使 用 KKerberos， 它 为 复制 数据 提供 丑 份 验证 和 数据 加 密 。 

SMTP: 这 种 类 型 的 复制 可 以 用 于 站 点 则 的 复制 ， 但 不 适用 于 站 点 内 的 复制 。 它 只 处 理 不 同 域 之 间 的 复制 。 只 
有 在 必要 时 才 应 该 使 用 SMTP， 因 为 存在 连接 问题 。 


1. 高 级 复制 步 

下 面 看 看 复制 是 如 何 工作 的 。 本 示例 将 展示 ， 当 名 为 DC01 的 域 控制 器 更 新 了 一 个 名 为 Bob 的 用 户 对 象 ， 并 将 
更 改 复制 到 位 于 同一 站 点 的 DC02 时 ， 执 行 的 高 级 复制 步骤 。 

(1) 用 户 对 象 在 DC01 上 更 新 。 

(2) DC01 检查 复制 配置 ， 以 查找 其 当前 的 复制 伙伴 。 

(3) DC01 同 其 复制 伙伴 发 送 更 改 通 知 ， 告 诉 他 们 有 更 新 。 

(4) 复制 伙伴 (在 本 例 中 是 DC02) 向 DC01 请 求 所 有 需要 的 更 改 。 
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(5) DC01 将 更 新 发 送 到 DC02。 

(6) DC02 更 新 其 Active Directory 数据 库 的 副本 。 

注意 ， 默 认 情 况 下 ， 更 改 通 知 不 文 持 站 点 间 复 制 。 但 是 ， 可 以 启用 该 特性 ， 在 中 型 和 大 型 组 织 上 使 用 它 是 很 常 
见 的 。 默 认 情 况 下 ， 域 控制 器 在 一 个 计划 中 相互 轮 询 以 查找 更 新 。 默 认 情 况 下 ， 这 种 情况 每 180 分 钟 发 生 一 次 ， 用 
于 站 点 间 复 制 。 这 个 默认 设置 通常 比 公 司 想 要 的 高 得 多 ， 所 以 很 少 使 用 默认 设置 。 许 多 组 织 选择 将 默认 复制 间隔 设 
置 为 15 分 钟 ， 这 是 Active Directory 站 点 和 服务 工具 允许 的 最 短 时 间 。 可 以 通过 编辑 注册 表 进 一 步 缩短 复制 间隔 ， 
但 在 大 多 数 环 境 中 都 不 应 该 这 样 做 。 


2. 使 用 PowerShell 党 理 复制 | 

可 以 使 用 PowerShell 来 检查 和 配置 复制 。 以 下 cmdlet 可 用 于 查看 配置 ; 
Get-ADReplicationAttributeMetadata 
Get-ADReplicationConnection 
Get-ADReplicationFailure 
Get-ADReplicationPartnerMetadata 
Get-ADReplicationQueueOperation 
Get-ADReplicationSsite 
Get-ADReplicationSiteLink 
Get-ADReplicationSiteLinkBridge 
Get-ADReplicationSubnet 
Get-ADReplicationUploDatenessVectorTable 
New-ADReplicationSsite 
New-ADReplicationSiteLink 
New-ADReplicationSiteLinkBridge 
New-ADReplicationSubnet 
Remove-ADDomaimControllerPasswordReplicationPolicy 
以 下 命令 可 用 于 配置 复制 : 
Set-ADReplicationConnection 
Set-ADReplicationSite 
Set-ADReplicationSiteLink 
Set-ADReplicationSiteLinkBridge 
Set-ADReplicationSubnet 


9.3.5 ”灵活 的 单个 主 操作 角色 


Active Directory 是 一 个 多 主 数据 库 ， 支 持 由 环境 中 的 任何 域 控制 器 进行 更 新 。 多 主 系统 提供 了 许多 好 处 ， 比 如 
更 强 的 弹性 和 更 高 的 性 能 。 然 而 ， 多 主 系统 有 时 会 发 生 神 突 : 两 个 域 控 制 器 试图 在 同一 时 间 对 同一 对 象 进 行 不 同 的 
更 改 。 对 于 常规 的 更 新 ， 比 如 对 用 户 对 象 的 更 新 ， 有 一 个 内 置 的 冲突 解决 过 程 ， 可 以 很 好 地 工作 。 对 于 更 复 林 的 情 
况 ， 微 软 选择 尽量 避免 冲突 。 为 此 ， 他 们 提出 了 特殊 的 Active Directory 角色 ， 即 灵活 的 单个 主 操作 角色 (FSMO 角 
色 )。 对 于 每 个 角色 处 理 的 特定 任务 ， 更 新 是 以 单个 主角 色 的 方式 处 理 。 无 论 哪个 域 控 制 器 是 主 控制 器 ， 都 要 处 理 
更 新 。 这 里 列 出 五 个 FSMO 角色 : 

架构 主角 色 : 架构 主角 色 持 有 者 是 处 理 对 Active Directory 架构 的 更 新 的 域 控制 器 。 例 如 ， 如 果 更 新 Exchange 
2016 的 模式 ， 更 新 将 进入 架构 主机 ， 然 后 复制 到 其 他 所 有 域 控 制 器 。 架 构 主角 色 是 森林 范围 的 ， 因 此 每 个 森林 只 有 


一 个 


过 人 和 和 


9244 


域 命名 主机 : 域 命名 主机 角色 持 有 者 负责 从 和 森林 中 添加 和 删除 域 ， 以 及 域 之 间 的 对 象 移 动 。 它 是 一 个 秩 林 范围 
的 角色 ， 所 以 每 个 森林 只 存在 一 个 角色 持 有 痢 。 

RID 主机 : 每 当 域 控制 器 创建 新 对 象 时 ， 都 会 将 域 安全 标识 符 (SID) 和 相对 ID (RID) 组 合 在 一 起 。RID 主机 角色 
持 有 者 将 RID 池 分 配给 其 他 域 控制 器 。 因 为 RID 主机 角色 持 有 者 负责 它 的 域 ， 所 以 每 个 域 都 有 一 个 RID 主机 角色 
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持 有 者 。 

PDC 模拟 器 : PDC 模拟 器 角色 持 有 者 的 主要 工作 是 为 域 管理 时 间 。 和 角色 持 有 人 还 处 理 密码 更 改 、 由 于 错误 密 
码 寻 致 的 身份 验证 失败 和 账户 锁定 。 在 多 域 森 林 中 ， 根 域 中 的 PDC 模拟 器 角色 持 有 者 负责 整个 森林 的 时 间 管 理 

基础 设施 主机 : 基础 设施 主机 角色 持 有 者 交叉 引用 不 同 领域 中 的 对 象 。 在 单 域 森 林 中 ， 基 础 设施 主机 角色 持 有 
者 无 事 可 做 ! 

默认 情况 下 ， 部 着 的 第 一 个 域 控 制 器 将 包含 所 有 五 个 角色 。 作 为 实现 的 一 部 分 ， 应 该 计划 分 离 角 色 ， 以 提高 角 
色 的 性 能 和 可 用 性 。 将 一 个 域 控 制 器 上 的 森林 角色 和 为 一 个 域 控 制 嚣 上 的 域 角 色 组 合 在 一 起 是 很 常见 的 。 


9.3.6 ”设计 组 织 单 元 结构 


组 织 单 元 (OU) 是 Active Directory 中 的 逻辑 对 象 ， 用 于 存储 Active Directory 对 象 ， 如 用 户 、 计 算 机 和 组 。 还 有 

其 他 对 象 ， 但 这 些 现在 并 不 重要 。 默 认 情 况 下 ，Active Directory 具有 非常 有 限 的 OU 结构 和 一 些 默 认 容 器 。 在 几乎 
所 有 的 环境 中 ， 都 需要 创建 OU 来 满足 需求 。 
创建 OU 有 两 个 主要 原因 : 
el 例如 ， 如 果 有 一 个 管理 所 有 客户 机 的 果 面 文 持 团 队 ， 可 以 创建 一 个 名 为 “客户 机 ”的 

U。 可 将 客户 机 的 计算 机 对 象 存 储 在 客户 机 OU 中 ， 然 后 将 该 OU 委托 给 条 面 文 持 团队 。 这 人 允许 该 小 组 
可 机 删除 旧 的 对 象 ， 甚 至 在 OU 中 创建 新 的 计算 机 对 象 。 但 它们 不 能 管理 其 他 OU 或 容器 中 
的 对 象 。 
促进 Group Policy 的 应 用 。Group Policy 使 计算 机 的 应 用 和 计算 机 的 用 户 设 置 上 自动 化 。 本 章 后 面 将 详细 讨 
论 。 现 在 ， 请 理解 每 个 Group Policy 对 象 (GPO) 都 需要 链接 到 OU。GPO 适用 于 OU 中 的 对 象 。 如 果 有 一 
个 对 Group Policy 友好 的 OU 结构 ， 它 将 简化 环境 。 这 进而 意味 者 减少 管理 开销 、 更 容易 进行 故障 排除 以 
及 更 有 可 能 实现 稳定 性 。 


真实 的 OU 布局 
下 面 看 看 一 个 虚构 组 织 的 OU 布局 ， 并 讨论 一 些 设计 决策 。 图 9.6 展示 了 OU 布局 。 


ww | Contoso 
v BB) Computers 
v a) Client computers 
a| Paris 
3) Madrid 
3| New computers 
w a) Servers 
3| SQL servers 
3) File servers 
3 | Users 
Admin accounts 
| Service accounts 


| Standard users 


了 | Sales 
al IT 
9.6 示例 OU 布局 


这 是 部 分 OU 结构 。 在 本 例 中 ， 名 为 Contoso 的 顶级 OU， 以 及 默认 的 容器 和 OU 位 于 OU 布局 的 根 目 录 中 。 
在 这 个 设计 中 ， 需 要 创建 的 每 个 OU 都 应 该 在 Contoso 结构 下 创建 。 下 面 看 看 这 个 布局 的 一 些 关 键 属 性 : 

令 ”所 有 计算 机 ， 无 论 是 服务 器 还 是 客户 机 ， 都 存储 在 计算 机 OU( 客 户 机 的 OU 或 服务 器 的 OU) 中 。 这 允许 
将 GPO 定向 到 所 有 计算 机 (例如 , 针对 所 有 计算 机 , 与 安全 相关 的 GPO 可 链接 到 Contoso/Computers OU)。 

全 所 有 客户 机 都 存储 在 名 为 “客户 机 ”的 OU 中 。 这 允许 将 客户 机 管理 员 委 托 给 管理 客户 机 的 团队 ， 而 不 
必 让 他 们 访问 其 他 计算 机 (他 们 不 管理 的 计算 机 )。 此外， 基于 位 置 的 OU 还 用 来 根据 位 置 进一步 细 分 客户 
机 。 如 果 在 巴黎 有 一 个 桌面 支持 团队 ， 可 以 只 委托 巴黎 客户 机 的 管理 。 如 果 有 一 个 GPO 来 启用 巴黎 计算 机 

的 特定 设置 ， 可 将 它 链接 到 Contoso/Client computers/Paris OU。 
倒 ”所 有 服务 器 都 存储 在 Servers OU 或 Servers OU 下 的 一 个 子 OU 中 。 这 允许 方便 地 链接 服务 器 GPO， 并 给 
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委托 使 用 最 小 特权 原则 。 服 务 器 根据 功能 进一步 划分 。 使 用 这 种 结构 ， 可 将 SQL 服务 器 的 管理 任务 委托 
给 数据 库 团队 。 可 将 功能 性 GPO 链接 到 功能 性 GPO- 或 者 对 于 服务 器 范围 的 GPO， 可 将 它们 链接 到 
服务 器 OU。 某 些 情 况 下 ， 可 能 选择 按 位 置 ( 和 功能 ) 划 分 服务 器 。 如 果 组 织 结构 需要 这 样 做 (例如 ， 如 果 有 
特定 于 站 点 的 管理 员 ， 或 者 需要 根据 SQL 服务 器 的 位 置 对 其 应 用 不 同 的 GPO)， 就 可 以 这 样 做 。 

令 用户 账户 根据 功能 来 分 隔 : 普通 用 户 账户 在 一 个 OU 中 ， 服 务 账 户 在 另 一 个 OU 中 ， 管 理 账户 在 一 个 单 
独 的 OU 中 。 这 允许 根据 功能 将 GPO 面向 用 户 。 还 可 按 位 置 划分 用 户 ， 特 别 是 如 果 有 特定 于 站 点 的 用 户 
支持 ， 这 允许 将 密码 重 置 等 用 户 功 能 委托 给 站 点 特定 的 用 户 管理 员 。 


前 面 展 示 了 一 个 示例 布局 ， 介 绍 了 设计 决策 的 一 些 好 处 ,但 是 还 有 其 他 许多 功能 性 OU 布局 也 得 到 了 文 持 。 当 
设计 (或 重新 设计 )OU 布局 时 ， 请 记 住 以 下 几 点 : 

不 要 把 OU 用 作文 件 夹 。 一 些 管理 员 使 用 OU 作为 文件 夹 。 他 们 组 织 Active Directory 对 象 的 方式 束 像 组 织 文件 
服务 器 上 的 数据 一 样 。 这 可 能 导致 OU 蔓延， 以 至 于 有 太 多 的 QU， 难以 党 理 ， 故 障 排除 也 非常 耗 时 。 

在 创建 OU 之 前 ， 问 问 自己 OU 是 否 用 于 链接 GPO 或 委托 管理 权限 。 如 果 两 者 都 没有 ， 就 可 能 不 需要 OU。 
与 往常 一 样 ， 也 会 有 例外 情况 。 

为 OU 指定 有 意义 的 名 字 。 如 果 男 一 位 管理 员 浏 览 OU 结构 , 就 应 该 能 够 根据 名 称 理 解 哪 些 对 象 存储 在 OU 中 。 

向 每 个 OU 沫 加 描述 (使 用 Description 属性 )。 当 第 一 底 创 建 OU 设计 时 ， 可 能 认为 描述 没什么 用 处 。 因 为 用 户 
在 设计 OU 时 会 记 住 整个 结构 ， 而 且 用 户 一 直 在 做 设计 ， 对 它 感 到 很 舒服 。 但 再 过 几 年 ， 到 男 一 家 公司 工作 ， 而 新 
的 管理 人 员 没 有 OU 设计 信息 。 这 时 描述 就 变 得 特别 有 用 了 。 

防止 OU 被 意外 删除 。 防 止 意外 删除 是 一 些 Active Directory 对 象 ( 如 OU) 的 一 个 特性 。 可 将 Protected- 
FromAccidentalDeletion 设置 为 gtue， 防 止 OU 被 意外 删除 。 例 如 ， 为 保护 示例 结构 中 的 Madrid OU， 运 行 如 下 
PowerShell 命令 : 


Set—ADOrganizationalUnit -Identity "OU=Madrid,OU=Client computers,OU=computers, 
DC=Contoso, DC=com" -ProtectedFromAccidentalDeletion S$true 


如 果 脚 本 或 管理 员 无 意 中 或 错误 地 删除 了 OU， 这 个 可 选 设置 是 有 帮助 的 ， 可 以 保护 OU。 这 种 保护 稼 使 党 理 员 
三 轧 而 行 。 虽 然 他 们 可 以 删除 保护 并 删除 OU， 但 他 们 经 常会 联系 团队 的 其 他 成 员 ， 看 看 是 否 可 以 在 继续 之 前 删除 它 。 


9.3.7 ” 域 探 制 疾 


下 面 要 关注 的 最 后 一 个 设计 元 取 是 域 控制 占 。 在 实现 设计 之 前 ， 需 要 做 出 一 些 关 键 的 设计 决策 。 下 面 确 定 需 要 
多 少 域 控 制 嚣 、 将 它们 放 在 哪里 ， 选 择 操 作 系 统 ， 选 择 操作 系统 的 安装 类 型 ， 以 及 配置 硬件 和 软件 组 件 。 


1. 域 探 制 兹 的 计数 和 位 置 
本 市 将 介绍 在 确定 环境 需要 多 少 域 控 制 器 以 及 在 何 处 放置 它们 时 需要 考虑 的 关键 问题 。 本 主题 与 硬件 分 级 相 
硬件 分 级 将 在 本 章 稍 后 讨论 。 
以 下 是 一 些 要 点 : 
令 ”总 在 每 个 需要 域 控 制 器 的 网 站 放置 至 少 两 个 域 控 制 器 。 这 样 ， 站 点 就 会 有 元 余 。 
令 ”如 果 站 点 没 有 安全 的 服务 器 机 房 或 数据 中 心 ， 就 不 在 站 点 放置 读 写 域 控制 器 。 相 反 ， 使 用 只 读 域 控制 器 ， 
它们 不 会 在 计算 机 上 本 地 存储 Active Directory 数据 库 的 副本 。 
令 ”如 果 站 点 有 服务 器 , 通 弟 最 好 把 域 控制 器 放 在 站 点 。 对 于 依赖 Active Directory 的 应 用 服务 器 , 如 Microsoft 
Exchange Server， 这 一 点 尤 其 重要 ， 
令 ”如 果 站 点 的 用 户 有 100 或 更 多 ， 应 该 考虑 把 域 控 制 器 放 在 站 点 。 这 是 一 般 的 经 验 法 则 ， 因 此 也 有 例外 ( 例 
如 ， 如 果 有 50 个 用 户 ， 还 有 6 个 或 8 个 成 员 服 务 器 )。 
关于 位 置 ， 还 需要 考虑 其 他 因 妓 。 
把 森林 根 域 控制 怖 放 在 哪里 ? 无 论 是 使 用 单 域 森林 还 是 多 域 森林 ， 都 应 该 将 森林 根 域 控制 器 放置 在 主 数 据 中 心 
中 。 主 数据 中 心 通常 是 具有 关键 基础 结构 和 高 度 可 用 的 组 件 ( 如 网 络 和 和 存储) 的 数据 中 心 ， 通 党 最 接近 其 他 服务 器 。 
将 全 局 目录 服务 怖 放 在 哪里 ? 全 局 目录 服务 器 是 一 个 域 控 制 器 , 它 具 有 其 域 信息 的 完整 副本 和 和 森林 中 其 他 域 对 
象 的 只 读 部 分 副本 。 在 许多 环境 中 ， 所 有 域 控 制 器 部 配置 为 全 局 目录 服务 器 。 应 该 考虑 在 每 个 具有 域 控 制 器 的 站 点 
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中 都 放置 全 局 目录 服务 器 。 在 主 数据 中 心 和 关键 位 置 中 ,人 至少 应 该 有 两 个 全 局 目录 服务 器 。 如 果 站 点 使 用 Microsoft 
Exchange 或 其 他 严重 依赖 Active Directory 和 /或 全 局 目录 服务 的 应 用 程序 ， 就 可 能 需要 额外 的 全 局 目录 服务 器 。 

除了 目 己 的 数据 中 心 和 办 公 地 点 之 外 ， 还 应 该 考虑 公共 云 ， 如 Amazon Web Services 和 Microsoft Azure。 可 将 
域 控 制 右 部 罩 到 公共 云 的 Infrastructure as a Service (IaaS) 环 境 中 。 这 允许 部 署 域 控制 器 ， 而 不 必 担 心 基础 设施 、 站 
扩 安 全 或 服务 器 人 硬件 。 当 公共 云 提供 商 的 数据 中 心 离 用 户 很 近 时 ， 使 用 公共 云 尤其 引 人 人 注目 ， 因 为 这 会 优化 最 终 用 
尸体 验 。 


2. 选择 操作 系统 
理想 情况 下 ， 只 使 用 最 新 的 操作 系统 。 在 今天 ， 这 就 是 Windows Server 2016。 在 现实 世界 中 ， 所 使 用 的 操作 系 
统 经 向 会 落后 最 新 版 本 一 两 个 版本 。 许 多 环境 的 域 控制 器 都 包含 不 同 的 操作 系统 。 本 书 讨论 的 是 Windows Server 
2016。 可 以 想象 ， 这 就 是 我 们 为 所 有 域 控制 器 推荐 的 操作 系统 。 下 面 看 看 为 什么 要 选择 使 用 Windows Server 2016， 
而 不 是 以 前 的 版 本 Windows Server 2012 R2 。 
例 Windows PowerShell 5.0 是 内 置 的 。Windows PowerShell 5.0 增强 了 PowerShell 的 安全 性 和 可 用 性 , 使 其 更 
容易 用 于 全 面 管 理 环境 。 
令 Windows Server 2016 引入 了 Just Enough Administration (JEA)。JEA 人 允许 给 特定 管理 员 授 权 特 定 的 命令 、 
记录 PowerShell 事务 ， 对 任何 可 以 使 用 PowerShell 管理 的 资源 提供 基于 角色 的 细 粒 度 访问 ， 来 保护 管理 。 
令 ”Windows Server 2016 引入 了 Credential Guard。 当 管理 员 通 过 远程 更 面 协议 (RDP) 连 接 到 服务 咒 时 ， 他 们 的 
凭证 不 会 存储 在 目标 服务 器 上 。 这 可 以 防止 Pass-the-Hash (PH 攻击 。 
分 ”人 遮 责 的 虚拟 机 可 用 于 运行 在 Windows Server 2016 的 Hyper -V。 和 遮蔽 的 VM 保护 虚拟 化 的 域 控制 器 和 其 他 
VM 不 受 被 破坏 的 虚拟 化 基础 设施 的 攻击 。 
例 ”Windows Server 2016 引入 了 网 络 增强 。TCP 性 能 的 改进 可 以 加 快 通信 速度 ， 还 有 一 个 名 为 软件 定义 网 络 
(Software-Defined Networking) 的 新 特性 ， 它 允许 划分 工作 负载 。 
令 ”Windows Server 2016 引入 了 增强 Active Directory 证 书 服 务 (AD CS) 和 Active Directory 联合 服务 (AD FS)。 
这 里 不 会 介绍 这 些 增强 功能 ， 而 是 在 AD CS 和 AD FS 的 专门 章节 中 介绍 它们 。 
尽管 Windows Server 2016 的 增强 功能 列表 并 不 是 所 有 新 功能 的 完整 列表 ， 但 它 确 实 提供 了 一 个 值得 考虑 的 增 
强 功 能 列表 。 有 关 Windows Server 2016 的 完整 更 改 列表 ， 请 参见 What's New in Windows Server 2016， 网 址 是 


https://technet.microsoft.com/en-us/Windows-server-docs/get-started/what-s-new-In-windows-server-2016。 


3. 选择 安 妆 类 型 

对 于 Windows Server 2016， 安 装 类 型 有 两 种 选择 : 

倒 ”Windows Server 2016 完整 安装 (GUT) 

全 Windows Server 2016 Server Core(GUT) 

Windows Server 2016 的 默认 安装 类 型 是 Server Core 安装 (默认 在 Windows Server 2012 中 局 动 )。 可 以 选择 使 用 
GUI 完整 安装 。 在 现实 世界 中 , 我 们 经 常 看 到 完整 的 安装 。 然 而 , 在 大 型 企业 或 高 安全 性 的 环境 中 , 常常 偏好 Server 
Core 安装 类 型 。 本 书 的 目标 读者 应 该 已 经 知 填 完整 安装 类 型 。 本 节 将 研究 Server Core 安装 类 型 ， 说 明 它 的 不 同 之 
处 ， 以 及 为 什么 应 该 将 其 用 于 域 控制 器 。 

合 Server Core 没有 浏览 器 ， 不 文 持 图 形 化 浏览 器 。 这 提高 了 安全 性 ， 因 为 域 控制 器 不 受 基于 Web 的 恶意 软 

件 的 影响 。 此 外 ， 浏 览 髓 中 第 见 的 漏 调 不 会 影响 Server Core。 

分 ”因为 Server Core 没有 浏览 右 ， 不 必 担 心 浏览 器 附加 组 件 ， 如 Java 和 Adobe(Flash 和 Shockwave)。 浏 览 器 

插件 因 存 在 安全 漏洞 而 具名 上 昭著， 管理 员 通 常会 化 大 量 时 间 管 理 热 修复 程序 和 版 本 。 
倒 ”Server Core 没有 图 形 用 尸 界 面 。 这 减少 了 域 控制 器 的 攻击 面 ， 还 减少 了 需要 部 章 的 热 修 复 程序 的 数量 。 
会 ”Server Core 需要 较 少 的 CPU、RAM 和 磁盘 空间 。 虽 然 这 些 组 件 不 再 成 本 高 昂 , 但 与 在 相同 硬件 /虚拟 硬件 
上 进行 完整 安装 相 比 ， 使 用 Server Core 可 以 获得 更 好 的 性 能 。 

使 ”Server Core 或 励 远程 常理， 管理 员 在 远程 计算 机 (而 不 是 域 控制 器 ) 上 执行 所 有 管理 任务 。 这 提高 了 安全 
性 ， 特 别 是 如 果 选 择 使 用 专用 的 和 安全 的 管理 计算 机 。 它 还 从 域 控制 器 中 删除 了 远程 RDP 会 话 ， 在 本 地 
运行 管理 工具 ， 以 提高 性 能 。 

尽管 这 里 没有 列 出 所 有 优点 ， 但 它 清楚 地 说 明了 为 什么 应 该 考虑 给 域 控 制 器 选择 Server Core 安装 类 型 。 下 面 


224 精通 Windows Server 2016( 第 6 版 ) 


看 看 现实 世界 的 情况 。 我 们 已 经 将 Server Core 安装 部 署 到 许多 组 织 中 ， 从 一 开始 就 使 用 它 ， 并 定期 听取 社区 的 意 
见 。 下 面 是 Server Core 安装 类 型 的 一 些 缺 点 : 

一 些 管理 任务 更 难 执 行 。 通 常 ， 有 些 任务 需要 更 长 时 间 才 能 完成 。 这 是 因为 一 些 管理 任务 非常 适合 使 用 GUI 
完成 。 例 如 ， 使 用 Certificates MMC 可 以 快速 方便 地 处 理 证 书 。 但 是 如 果 没 有 GUI， 就 会 比较 困难 。 在 GUI 中 使 用 
DCOM 权限 很 简单 。 而 没有 GUI， 就 没有 那么 容易 。 用 户 可 以 习惯 其 中 的 一 些 内 容 ， 但 结果 仍然 是 一 样 的 一 一 当 
使 用 Server Core 时 ， 一 些 管理 工作 的 效率 会 有 所 降低 。 

一 些 第 三 方 代理 和 客户 可 能 无 法 工作 。 大 多 数 人 可 能 在 域 控 制 器 上 运行 了 杀毒 代理 、 监 视 代 理 、 管 理 代 理 和 安 
全 代理 。 有 些 代理 可 能 无 法 在 Server Core 上 使 用 。 好 消息 是 大 多 数 代 理 在 默认 情况 下 都 是 有 效 的 。 某 些 情况 下 ， 
可 能 丢失 域 控制 器 上 代理 的 GUI( 否 则 将 保持 完整 的 功能 )。 大 多 数 主流 供应 商都 支持 Server Core。 但 这 是 在 决定 环 
境 的 安装 类 型 之 前 应 该 研究 的 一 个 领域 。 

关于 安装 类 型 的 最 后 一 点 是 ， 安 全 不 是 简化 管理 或 使 工作 更 容易 完成 。 现 实情 况 是 ， 大 多 数 可 用 的 安全 技术 都 
使 管理 变 得 更 复杂 ， 使 我 们 的 工作 更 困难 。 但 这 是 运行 安全 环境 的 一 部 分 。 这 是 一 种 权衡 。 每 个 组 织 都 必须 决定 他 
们 想 要 的 安全 级 别 ， 而 这 个 决定 通常 基于 行业 、 数 据 的 重要 性 和 敏感 性 ， 以 及 与 客户 和 合作 伙伴 的 协议 。 我 们 的 工 
作 是 确保 环境 安全 满足 或 超过 组 织 的 要 求 。Server Core 可 能 是 更 接近 该 目标 的 一 种 方式 。 


4. 调整 域 控制 兹 的 大 小 
有 一 个 好 消息 : 不 必 花 费 太 多 时 间 来 设置 域 控制 器 的 大 小 。 这 是 因为 ， 对 于 大 多 数 环境 来 说 ， 运 行 在 现代 操作 
系统 (Windows Server 2012 R2 或 更 高 版 本 ) 上 的 现代 服务 器 (过 去 两 年 内 构建 的 ) 可 以 轻松 地 运行 Active Directory 域 
服务 ， 甚 至 对 于 中 等 规模 的 组 织 也 是 如 此 。 例 如 ， 在 撰写 本 书 时 ， 我 们 回顾 了 主要 服务 器 供应 商 的 服务 器 产品 。 默 
认 的 机 架 服务 器 有 两 个 6 核 Intel Xeon 处 理 器 和 16GB 的 RAM。 可 以 定制 它 ， 以 包含 22 核 处 理 器 和 最 多 3TB 的 
RAM。 当 然 ， 应 该 考虑 除 Active Directory 之 外 的 其 他 应 用 程序 和 服务 。 一 些 应 用 程序 (例如 Microsoft Exchange) 可 
在 Active Directory 上 布置 大 量 工 作 负 载 。 一 定 要 在 计划 期 间 考 虑 到 所 有 工作 负载 ! 
如 果 组 织 一 直 在 努力 提高 域 控制 器 的 性 能 , 或 者 在 大 型 组 织 中 工作 , 那么 应 该 伦 一 些 时 间 计 划 域 控制 器 的 大 小 。 
在 高 层次 上 ， 应 该 执行 以 下 任务 : 
令 ”审核 现 有 环境 。 目前 的 尺寸 可 以 接受 吗 ? 表现 不 佳 吗 ? 是 否 存 在 任何 性 能 问题 ? 如 果 不 确定 ， 应 该 收集 性 
能 统计 数据 。 那 将 是 起 点 。 人 然后 ， 继 续 下 一 个 任务 ， 也 就 是 评估 公司 的 发 展 方 问 。 
令 ”公司 即将 进行 重大 收购 ? 增长 率 是 20% 吗 ? 公司 是 否 要 拆 分 成 两 个 独立 的 公司 ? 这 些 是 需要 考虑 的 领域 ， 
0 大 还 是 缩小 目前 的 规模 )。 使 用 从 前 两 个 步骤 中 获得 的 信息 进入 最 后 
调整 域 控制 器 的 大 小 。 
S 调整 域 近 制 器 (CPU、 内 存 、 和 存储 ) 的 大 小 。 
前 面 介绍 了 大 小 ， 下 面 分 析 各 个 组 件 : CPU、 内 存 和 存储 。 


CPU 

今天 的 处 理 器 非常 强大 ， 可 轻松 地 处 理 大 量 工作 负载 。 但 这 仪 适用 于 使 用 现代 硬件 或 现代 虚拟 化 基础 染 构 的 情 
况 。 如 果 默 认 物 理 服 务 器 市 有 4 个 22 核 的 Intel Xeon 处 理 器 ， 就 不 必 担 心 处 理 器 的 大 小 。 然 而 ， 如 果 新 域名 控制 器 
被 虚拟 化 ， 虚 拟 化 团队 为 每 个 新 VM 分 配 一 个 虚拟 CPU (vCPU)， 就 需要 准备 好 申请 更 多 的 虚拟 CPU。 可 以 使 用 在 
现 有 环境 评审 中 收集 的 信息 来 获得 帮助 。 需 要 显示 当前 正在 使 用 的 是 什么 ， 预 计 使 用 的 是 什么 ， 以 及 需要 多 少 处 理 
能 力 来 文 持 这 种 使 用 。 还 应 该 知道 ， 其 他 应 用 程序 ， 比 如 Microsoft Exchange Server， 通 篆 都 有 目 己 的 域 控制 器 大 小 
需求 。 例 如 ，Microsoft Exchange 要 求 , 每 8 个 Microsoft Exchange Server CPU 内 核 中 必须 至 少 有 一 个 域 控制 器 CPU 
内 核 可 用 。 如果 将 多 个 Exchange 服务 器 (以 及 功能 强大 的 服务 器 ) 部 罩 到 单个 数据 中 心 , 可 能 会 影 啊 域 控制 器 的 大 小 。 
除了 Microsoft Exchange， 还 有 大 量 的 应 用 程序 依赖 于 域 控 制 嚣 。 有 时 ， 这 些 应 用 程序 “表现 不 好 ”。 这 可 能 意味 着 
可 能 太 频 繁 , 也 可 能 搜索 整个 目录 , 而 不 是 在 树 中 指定 一 个 更 低 的 搜 
索 基 数 。 还 需要 注意 指 回 单个 域 控制 器 的 许多 应 用 程序 ， 而 不 是 分 散 猴 载 。 这 些 会 对 域 控 制 器 的 处 理 器 造成 压力 。 

内 存 

对 于 域 控制 器 ， 内 存在 环境 中 扮演 看 关键 角色 。 如 果 有 足够 的 内 存 ， 那么 整个 Active Directory 数据 库 就 可 以 容 
纳 到 该 内 存 中 ， 从 而 缓解 存储 环境 的 压力 。 如 果 数 据 库 不 适合 内 存 ， 那 么 存储 性 能 就 变 得 非常 重要 。 为 了 确定 域 控 
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制 器 需要 多 少 内 存 ， 需 要 添加 操作 系统 所 需 的 内 存 ， 需 要 根据 Active Directory 数据 库 的 总 大 小 (NTDS.DIT)、 
SYSVOL 的 大 小 添加 内 存 ， 还 需要 考虑 第 三 方 应 用 程序 代理 ( 防 病毒 、 防 恶意 软件 、 监 控 、 管 理 、 备 份 等 ) 需要 的 
内 存 。 下 面 看 一 个 例子 ， 它 代表 了 Windows Server 2016 的 一 个 典型 环境 。 表 9.1 表示 本 例 中 所 有 组 件 的 内 存 需求 。 


表 9.1 域 控 制 器 的 内 存 大 小 调整 示例 


组 ” 件 所 需 内 存 

操作 系统 ( 果 面 体验 ) 2GB 

SYSVOL 200MB 
Active Directory 数据 库 2GB 

管理 代理 125MB 
防 病毒 代理 300MB 
监控 代理 100MB 
防 恶 意 软件 代理 175MB 
备份 代理 124MB 
最 低 RAM 需求 5GB 


在 表 9.1 中 可 以 看 到 域 控 制 器 各 个 组 件 所 需 的 最 小 内 存 布局 。 在 某 些 环境 中 ， 有 更 多 代理 。 但 请 注意 ， 这 是 所 
需 的 最 小 内 存量 。 在 评估 环境 时 ， 需 要 考虑 峰值 、 增 长 、 管 理工 作 和 未 知 因 素 。 因 此 对 于 这 个 示例 域 控 制 器 ， 比 较 
好 的 最 小 目标 是 8GB， 更 保守 的 目标 是 12GB。 在 调整 域 控 制 器 的 大 小 时 ， 需 要 依赖 在 查看 现 有 环境 时 收集 的 数据 。 
应 该 执行 以 下 任务 来 获得 帮助 : 
令 ”审查 现 有 的 域 控 制 器 ， 来 确定 它们 在 一 天 的 不 同时 期 (尤其 是 在 高 峰 时 期 ) 使 用 多 少 内 存 。 
令 ”使 用 性 能 监视 器 来 收集 数据 ， 验 证 假设 。 
令 ”添加 估计 的 增长 和 公司 变更 (合并 等 )。 
》 上升 到 下 一 个 内 存量 。 换 句 话说 ， 如 果 计 算出 域 控制 器 需要 9GB 的 RAM，RAM 就 上 升 到 12GB。 这 主要 
适用 于 物理 服务 器 ， 在 这 些 服务 器 中 添加 RAM 既 不 快速 又 不 容易 。 在 虚拟 环境 中 ， 可 以 安全 地 接近 需要 
的 实际 RAM， 可 以 相对 快速 地 进行 假设 的 更 改 ( 如 果 需 要 的 话 )。 
关于 域 控 制 器 的 内 存 还 有 最 后 一 个 关键 考虑 因素 。 如 果 使 用 的 是 虚拟 环境 ， 最 好 避免 在 虚拟 化 主机 上 过 度 使 用 
内 存 。 如 果 这 样 做 ， 那 么 当 内 存 耗 尽 时 ， 域 控制 器 束 有 可 能 依赖 虚拟 磁盘 而 不 是 内 存 。 这 会 对 域 控 制 右 的 性 能 产生 
负面 影 啊 。 


存储 

域 控制 器 的 存储 考虑 主要 局 限于 存储 性 能 和 见 余 ， 而 不 是 存储 空间 。 这 是 因为 域 控制 器 的 总 数据 量 非常 有 限 ， 
通常 只 有 几 GB 或 更 少 ( 加 上 操作 系统 和 程序 文件 )。 因 此 ， 本 节 将 关注 性 能 。 存 储 性 能 的 最 终 目 标 是 确保 域 控制 器 
具有 足够 的 性 能 来 服务 于 环境 。 这 可 能 看 起 来 很 普通 ， 但 事实 的 确 如 此 。 但 其 思想 是 确定 每 秒 所 需 的 IO 操作 数 
(OPS)， 并 设计 存储 以 满足 或 超过 需求 。 后 面 将 介绍 一 个 基于 物理 域 控 制 器 和 DAS( 直 接 附加 存储 ) 的 存储 布局 。 其 
中 一 些 信 息 在 大 型 存储 区 域 网 络 或 虚拟 环境 中 相关 性 有 限 ， 但 它 代 表 了 所 有 部 署 的 良好 起 点 。 使 用 物理 域 控 制 器 ， 
通过 分 离 系统 存储 的 读 、 写 和 操作 ， 可 以 最 大 限度 地 提高 域 控制 器 的 总 体 性 能 。 表 9.2 显示 了 一 个 存储 布局 ， 它 将 
整体 性 能 最 大 化 。 虽 然 由 于 预算 、 时 间或 人 力 的 原因 ， 这 种 布局 在 每 个 组 织 中 并 不 总 是 可 行 的 ， 但 是 应 该 努力 在 物 
理 环境 中 接近 它 。 


表 9.2 域 控 制 器 的 存储 布局 


RAID 级 别 郑 
RAID 1 系统 着 
RAID 0、5 或 10 数据 库 卷 + SYSVOL 
RAID 1 日 志 卷 


下 面 先 看 一 下 数据 库 郑 的 详细 信息 。 对 数据 库 郑 的 大 多 数 活 动 都 是 读 取 操 作 。 据 估计 ，Active Directory 中 90% 
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的 输入 /输出 (VO) 都 与 读 取 数 据 有 关 。 对 于 大 多 数 环境 ， 在 RAID 0、RAID 5 或 RAID 10 上 ， 读 操作 的 性 能 是 足够 
的 。 如 果 客 户 不 能 对 每 个 卷 进行 精确 的 RAID 级 别 选择 , 我 们 通常 会 建议 客户 先进 行 卷 分 离 , 然后 进行 特定 的 RAID 
级 别 选择 。 除 了 数据 库 之 外 ， 数 据 库 卷 还 应 该 包含 SYSVOL 数据 。 默 认 情 况 下 ，SYSVOL 数据 将 存储 在 操作 系统 
卷 上 ， 如 果 卷 耗 尽 了 空间 ， 就 有 出 问题 的 风险 。 

现在 ， 讨 论 一 下 日 志 卷 。 日志 卷 是 存储 数据 库 事 务 日 志 的 地 方 ， 有 大 量 的 写 活动 。 因 此 ， 需 要 选择 一 个 存储 布 
局 和 RAID 级 别 来 最 大 化 写 性 能 。 在 许多 磁盘 (主轴 ) 上 写 入 通常 会 提高 性 能 。 在 多 个 磁盘 (主轴 ) 上 多 次 写 入 一 个 事 
务 会 降低 性 能 。 一 些 RAID 级 别 ， 如 RAID 5， 具 有 必须 写 入 磁盘 的 奇偶 校 验 信息 。 这 增加 了 开销 ， 特 别 是 对 有 大 
量 写 操作 的 卷 。 对 于 日 志 卷 ，RAID 1 或 RAID 10 在 提供 元 余 的 同时 提供 了 民 好 的 性 能 。 如 果 性 能 是 唯一 的 考虑 因 
际 ， 那 么 RAID 0 是 最 好 的 选择 。 因 为 RAID 0 没有 任何 开销 ， 所 以 它 提 供 了 最 好 的 整体 性 能 。RAID 0 最 适合 于 服 
务 器 丢失 可 以 忽略 不 计 的 特定 场景 (例如 大 型 Web 服务 器 群 )。 对 于 域 控 制 器 ， 我 们 通常 不 推荐 RAID 0， 因 为 它 增 
加 了 数据 丢失 和 停机 的 机 会 。 


5. 配置 审计 和 日 志 

捕获 审计 信息 和 记录 操作 信息 在 整个 环境 中 都 很 重要 。 然 而 ， 对 于 域 控制 器 来 说 ， 这 是 至 关 重 要 的 。 由 于 域 控 
制 器 处 理 身 份 验证 和 授权 ， 因 此 它们 通常 是 亚 意 用 户 的 主要 目标 。 需 要 确保 域 控制 器 配置 为 捕获 与 组 织 安全 相关 的 
数据 。 

在 Windows Server 2016 中 有 两 种 审计 类 型 : 

基本 安全 审计 : 基本 安全 审计 提供 了 9 类 审计 。 这 种 类 型 的 审计 存在 于 Windows Server 的 几 个 版 本 中 。 它 可 以 
满足 需要 简单 配置 的 小 型 环境 ， 但 其 粒度 还 不 足以 满足 局 级 安全 组 织 的 要 求 。 

高 级 安全 审计 : 高 级 安全 审计 提供 了 61 个 审计 设置 。 它 最 初 是 在 Windows Server 2008 中 引入 的 ， 但 直到 
Windows Server 2008 R2 才 被 纳入 Group Policy。 高 级 安全 审计 提供 了 粒度 。 这 人 允许 捕获 所 需 的 内 容 ， 而 不 必 捕 获 大 
量 数据 。 

注意 ， 如 果 基 本 审计 和 高 级 审计 都 配置 为 捕获 所 有 内 容 ， 那 么 它们 捕获 的 数据 完全 相同 。 高 级 审计 的 好 处 是 减 
少 捕 获 的 数据 、 简 化 数据 管理 和 减少 存储 需求 。 如 果 配 置 了 这 两 种 审计 类 型 ， 则 优先 使 用 高 级 审计 策略 设置 。 这 是 
因为 它们 是 最 后 应 用 的 ， 现 有 的 审计 设置 在 高 级 审计 策略 设置 应 用 之 前 被 清除 。 

基本 审计 分 为 9 类 。 每 个 都 代表 一 个 高 级 类 别 ， 如 图 9.7 所 示 。 


alAudrt account logon events Not Defined 
ba) Audit account management Not Defined 
Wal Audit directory service access Not Defined 
wi Audit logon events Not Defined 
aa Audit object access Not Defined 
Bal Audit policy change Not Defined 
Wal Audit privilege use Not Defined 
eg Audit process tracking Not Defined 


wn) Audit system events Not Defined 
图 9.7 基本 审计 设置 


对 于 高 安全 性 环境 中 的 基本 安全 审计 ， 应 该 路 所 有 审计 类 别 局 用 成 功 和 失败 审计 。 但 是 ， 这 会 生成 大 量 审 
计数 据 ， 管 理 这 些 数 据 需要 管理 开销 。 必 须 弄 清楚 把 它 放 在 哪里 ， 如 何人 存档 ， 以 及 如 何 轻 松 地 搜索 它 。 此 时 可 
能 不 得 不 使 用 第 三 方 产品 。 在 大 多 数 环境 中 ， 应 该 查看 捕获 的 审计 数据 ， 并 确定 组 织 不 需要 捕获 哪些 审计 类 别 
(如 有 果 有 的 话 )。 然 后 ， 相 应 地 调整 审计 设置 。 在 理想 情况 下 ， 应 配置 审计 ， 来 捕获 所 需要 的 数据 ， 而 不 捕获 其 
他 内 容 。 

有 61 个 高 级 审计 策略 设置 。 有 10 个 高 级 分 类 ， 每 个 都 包 合 特 定 的 高 级 审计 策略 设置 ， 如 图 9.8 所 示 。 

在 高 度 安 全 的 环境 中 , 应 该 在 所 有 审计 类 别 中 实现 成 功 和 失败 审计 。 但 如 前 所 述 ， 需 要 找到 处 理 所 有 数据 的 方法 。 
考虑 使 用 高 级 审计 策略 设置 ， 来 捕获 需要 的 所 有 信息 ， 而 不 必 捕 获 不 需要 的 信息 。 这 是 高 级 审计 的 最 大 卖点 一 一 只 获 
取 需 要 的 东西 。 
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en Audit Credential Validation Not Configured 
SAudit Kerberos Authentication Service Naot Configured 
BE] Audit Kerberos Service Ticket Operations Not Configured 
so) Audit Other Account Logon Events Not Configured 


ired Metvwork (I[EEE 802.3) Policies 
indows Firewall with Adyanced security 
etywork List Manager Policies 

ireless Petvwerk ([EEE 802.11) Policies 

bhic Key Policres 
pftware Restriction Policies 
pplication Control Policies 

Security Policies on Active Directory 
dvanced Audit Poliey Configuration 
Audit Policies 

组 Account Logon 

国 Account Management 

国 Detailed Tracking 

国 DS Access 

国 Logon/Logoff 

国 Object Access 

对 Policy Change 

国 Privilege Use 

国 System 

国 Global Object Access Auditing 


除了 审计 数据 之 外 ， 还 希望 在 Windows 事件 日 志 中 捕获 数据 。 如 果 使 用 默认 设置 ， 安 全 事件 日 志 将 不 会 大 到 
足以 容纳 超过 一 两 个 小 时 的 数据 (在 中 型 到 大 型 生产 环境 中 的 域 控 制 器 上 )。 如 果 要 将 所 有 事件 数据 归档 到 数据 库 中 ， 
并 使 用 第 三 方 工具 检查 事件 日 志 条 目 ， 这 可 能 就 足够 了 ,但 是 仍然 最 好 在 域 控制 器 上 查看 一 两 天 的 数据 。 否 则 ， 如 
果 存 档 系 统 不 起 作用 ， 或 者 如 果实 时 地 进行 故障 排除 ， 该 怎么 办 ? 应 该 使 用 Group Policy 来 控制 域 控制 器 的 事件 日 
志 设 置 。 表 9.3 显示 了 Group Policy 中 的 适用 设置 以 及 为 高 安全 性 环境 推荐 的 设置 。 


表 9.3 事件 日 志 设 置 


策略 设置 建议 的 设置 值 
最 大 应 用 程序 日 志 大 小 262 144 
最 大 安全 日 志 大 小 4 194 240 
最 大 系统 日 志 大 小 262 144 


注意 事件 日 志 的 大 小 设置 .在 Windows 的 早期 版 本 (如 Windows Server 2003) 中 , 操作 系统 不 文 持 大 型 事件 日 志 ， 
这 样 的 设置 可 能 导致 不 稳定 或 错过 事件 。 

除了 审计 事件 和 维护 足够 大 的 事件 日 志 大 小 之 外 ， 还 需要 确定 希望 保留 日 志 多 长 时 间 以 及 如 何 保留 日 志 。 上 有 具有 
4GB 数据 的 安全 事件 日 志 似 乎 包含 多 个 星期 的 活动 , 但 在 繁忙 的 环境 中 通常 只 有 几 天 或 更 少时 间 的 活动 。 当 日 志 被 
填 满 时 ， 需 要 一 个 解决 方案 来 获取 这 些 日 志 并 将 其 存档 。 可 使 用 第 三 方 事件 日 志 归 档 解 决 方案 ， 或 者 可 选择 内 置 在 
Windows Server 中 的 (免费 ) 事 件 日 志 归 档 功 能 。 在 大 多 数 环 境 中 ， 建 议 将 所 有 域 控制 器 的 所 有 事件 日 志 存 档 至 少 6 
个 月 。 在 高 度 安 全 的 环境 中 ， 建 议 将 所 有 服务 器 (包括 域 控制 器 ) 的 所 有 事件 日 志 人 存档 至 少 12 个 月 。 维护 日 志 的 确切 
时 间 应 该 根据 公司 的 要 求 而 定 。 公 司 的 需求 通 贡 基于 他 们 对 各 种 法 律 、 法 规 和 规章 的 遵守 。 


6. 配置 操作 系统 组 件 

在 许多 环境 中 ,管理 员 对 服务 器 提供 了 一 个 标准 的 操作 系统 部 署 。 它们 使 用 一 个 映像 ， 以 便 每 个 服务 器 都 具有 
类 似 的 配置 (至 少 在 最 初 部 署 时 是 这 样 )。 应 该 为 域 控制 器 执行 类 似 的 操作 。 有 许多 操作 系统 组 件 和 设置 可 提高 域 控 
制 器 的 安全 性 、 性 能 或 稳定 性 ,一 旦 对 设置 进行 了 标准 化 , 就 应 该 将 它们 添加 到 服务 器 映像 中 ,然后 使 用 Group Policy 
强制 进行 设置 。 下 面 看 看 建议 在 域 控制 器 上 配置 的 一 些 关键 组 件 。 

Windows 防火 墙 : 除非 使 用 另 一 个 基于 主机 的 防火 墙 ， 否 则 应 该 在 域 控制 器 上 使 用 内 置 的 Windows 防火 
墙 。 它 为 初始 部 署 和 正在 进行 的 管理 和 故障 排除 增加 了 一 些 管理 开销 , 但 它 为 基础 结构 的 关键 部 分 增加 了 另 一 
个 安全 层 。 

远程 管理 : 在 默认 情况 下 启用 远程 管理 时 ， 应 该 一 直 启 用 它 。 对 于 域 控制 器 ， 几 乎 所 有 的 管理 操作 都 应 该 
远程 执行 。 只 有 当 不 能 远程 执行 管理 操作 时 (例如 ， 在 故障 排除 时 ， 远 程 管理 不 起 作用 )， 才 应 该 在 域 控制 器 上 
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执行 本 地 管理 。 

远程 桌面 : 远程 梨 面 的 最 佳 设置 不 像 其 他 一 些 设置 那么 明确 。 通 过 茶 用 它 ， 可 以 高 度 鼓 励 远程 管理 (这 很 好 )。 
然而 ， 在 故障 排除 的 情况 下 ， 可 能 不 得 不 远程 或 从 控制 台 ( 或 虚拟 控制 台 ) 司 用 远程 果 面 。 建 议 继续 使 用 它 ， 但 在 一 
些 环境 下 ,不 使 用 它 也 是 有 意义 的 (在 大 多 数 高 安全 性 环境 中 ， 安 全 的 重要 性 胜 过 了 正常 运行 和 管理 开销 )。 

Windows 防御 器 : 这 是 默认 开局 的 。 除 非 在 域 控制 器 上 使 用 另 一 个 反 恶 意 软 件 产品 ， 否 则 应 该 一 直 局 用 它 。 
和 Windows 防火 墙 一 样 ， 它 提供 了 为 一 个 保护 环境 的 安全 层 。 

用 户 账 户 控制 (UAC): 默 认为 开 月 状态 , 设置 为 当 应 用 程序 试图 对 计算 机 进行 更 改 时 通知 。 党 理 员 通 利 硕 望 UAC 
设置 为 永远 不 通知 。 然 而 ， 对 于 域 控 制 嚣 ， 建 议 采 用 为 一 种 方式 ， 将 其 配置 为 始终 通知 。 这 意味 着 ， 每 当 对 计算 机 
设置 进行 任何 修改 ， 安 装 应 用 程序 ， 或 者 应 用 程序 试图 进行 修改 ，UAC 痢 会 通知 官 理 员 。 


9.4 计算机、 用户 和 组 管理 


一 旦 设计 并 部 普 了 Active Directory( 或 为 大 多 数 在 现 有 环境 中 工作 的 人 )， 日 常 省 理 任务 就 会 转移 到 对 象 害 理 。 
要 省 理 的 主要 对 象 是 计算 机 、 用 户 和 组 。 本 章 的 这 一 部 分 将 重点 讨 论 计算 机 窟 理 、 用 户 管 理 和 组 窟 理 。 我 们 将 为 每 
个 部 分 提供 一 些 初始 信息 ， 但 主要 关注 的 是 管理 对 象 的 操作 任务 。 


9.4.1 计算 机 管理 


Active Directory 中 的 计算 机 对 象 与 用 尸 对 象 类 似 。 它 们 共享 一 组 常见 的 属性 ,但 计算 机 对 象 有 一 些 用 户 对 象 没 
有 的 属性 。 有 些 管理 员 不 知道 ， 计 算 机 对 象 有 密码 ! 计算 机 也 可 以 获得 资源 的 被 访问 权限 。 本 节 介 绍 的 一 些 概念 适 
用 于 计算 机 和 用 户 ， 因 为 它们 有 相似 之 处 。 但 是 注意 ，PowerShell cmdlet 会 根据 使 用 的 对 象 类 型 稍 有 变化 。 

在 Active Directory 模式 中 ， 计 算 机 是 其 中 一 个 类 。 类 是 存储 在 目录 中 的 唯一 对 象 的 拉 述 。 有 三 种 类 型 的 类 。 计 
算 机 对 象 是 结构 类 之 一 。 计 算 机 是 用 户 类 的 子 类 。 这 是 有 趣 的 背景 信息 ， 下 面 看 看 日 常 处 理 的 一 些 信息 。 

默认 情况 下 , 当 创 建新 的 计算 机 对 象 而 不 指定 位 置 (例如 , 将 计算 机 连接 到 域 ) 时 , 该 对 象 将 存储 在 默认 Computers 
容器 中 。 因 为 Computers 是 一 个 容器 ， 不 能 将 GPO 连接 到 它 。 因 此 ， 最 好 使 用 OU 作为 新 计算 机 对 象 的 默认 位 置 。 
这 允许 将 GPO 面 曲 OU， 以 便 在 新 计算 机 加 入 域 时 获得 一 些 GPO。 从 安全 角度 看 ， 这 一 点 很 重要 。 前 先 ， 为 新 的 
计算 机 对 象 创建 新 的 OU。 这 是 新 加 入 的 计算 机 的 临时 位 置 。 永 久 位置 将 基于 其 位 置 和 角色 (以 及 创建 的 OU 结构 )。 
接 下 来 的 示例 将 使 用 图 9.6 的 OU 示例 布局 中 的 Contoso/Computers/New Computers OU。 人 然后， 使 用 Redircmp 命令 
(在 添加 Active Directory 党 理工 具 时 将 此 命令 添加 到 Windows 中 ) 来 更 新 默认 位 置 ， 如 下 所 示 : 

Redircmp -OU=New computers,OU=Computers,OU=Contoso, DC=Contoso, DC=com" 

一 旦 有 了 用 于 新 计算 机 的 新 OU， 应 该 将 与 安全 相关 的 GPO 链接 到 那个 OU。 这 使 新 计算 机 在 重新 定位 到 最 终 
OU 之 前 能 够 接收 与 安全 相关 的 设置 。 


手动 管理 计算 机 对 象 

在 许多 组 织 中 ， 大 多 数 计 算 机 对 和 象 是 在 将 计算 机 连接 到 域 时 创建 的 。 在 安装 操作 系统 后 ， 将 计算 机 本 地 连接 到 
域 。 或 者 ， 有 一 个 自动 化 的 操作 系统 部 署 解决 方案 ， 安 装 操作 系统 并 将 计算 机 连接 到 域 ( 以 及 其 他 定制 )。 不 过 ， 有 
时 也 需要 手动 创建 计算 机 对 象 。 

非 Windows 计算 设备 或 要 加 入 域 的 设备 。 在 这 个 场景 中 ， 是 另 一 个 团队 管理 设备 。 它 们 会 遍历 域 加 入 过 程 。 
但 这 些 管理 员 没 有 将 计算 机 加 入 域 的 权限 。 在 此 场景 中 , Active Directory 管理 员 可 提前 为 设备 创建 一 个 计算 机 对 象 。 
在 此 创建 过 程 中 ， 一 般 指 定 将 设备 加 入 到 域 的 团队 或 管理 员 。 这 使 他 们 有 权 将 该 设备 加 入 到 域 。 计 算 机 对 象 的 创建 
通常 称 为 计算 机 账户 的 预 准备 。 

在 Active Directory 中 没有 管理 权限 的 管理 员 部 署 新 的 故障 转移 集群 。 在 此 场景 中 , 故障 转移 集群 向 导 将 自动 创 
建 必 要 的 计算 机 对 象 ,， 但 前 提 是 运行 该 对 得 的 管理 员 在 Active Directory 中 拥有 权限 。 在 这 个 场景 中 , 管理 员 没 有 这 
个 权利 。 作 为 Active Directory 管理 员 ， 可 以 在 Active Directory 中 预先 创建 一 个 计算 机 对 象 ， 而 其 他 管理 员 可 以 在 
故障 转移 集群 的 创建 过 程 中 引用 该 对 象 。 
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要 创建 名 为 Corp-FS-01 的 新 计算 机 ， 请 运行 命令 : New-ADComputer -Name Corp-FS-01。 

计算 机 对 象 在 默认 位 置 创建 (如 果 没 有 更 新 默认 位 置 , 就 是 Compnuters 容器 ; 否则 , 就 是 配置 为 默认 位 置 的 OU)。 
它 有 与 名 称 匹 配 的 SAMAccountName( 在 本 例 中 为 CORP-FS-01)。 计 算 机 账 己 密码 是 目 动 分 配 的 ， 局 用 并 准备 使 用 
计算 机 。 

除了 创建 计算 机 对 象 之 外 ， 还 需要 偶尔 删除 计算 机 对 象 ， 重 置 计 算 机 账户 密码 ， 移 动 计 算 机 对 象 。 这 些 任务 大 
部 分 是 使 用 Active Directory 用 户 和 计算 机 或 Active Directory 管理 中 心 直 接 转发 的 。 右 键 单 击 一 个 计算 机 对 象 ， 可 
以 单 击 Reset Account、Move 或 Delete。 

还 可 以 使 用 PowerShell。 使 用 以 下 命令 重 置 本 地 计算 机 账户 密码 (在 登录 并 运行 命令 的 服务 器 上 ): 

Test-ComputerSecureChannel -Repair 

使 用 以 下 命令 将 Computers 容器 中 名 为 Serverl 的 计算 机 对 象 移动 到 服务 器 OU: 

Move-ADObject -Identity 'CN=Serverl,OU=Containers,DC=Contoso, DC=com' -TardetPath 

'OU=Servers, DC=Contoso, DC=com' 

使 用 以 下 命令 删除 名 为 Serverl 的 计算 机 对 象 : 

Remove-ADObject 'CN=Serverl,OU=Containers,DC=Contoso, DC=com' 

对 于 计算 机 管理 ， 还 有 一 个 熟悉 的 管理 任务 ， 处理“ 陈旧 ”的 计算 机 账户 。 陈 旧 的 计算 机 账户 是 域 中 不 再 使 用 
的 计算 机 账户 。 换 句 话说 ,计算 机 对 象 仍然 在 目录 中 , 但 是 计算 机 本 里 己 经 退休 、 退 役 或 永久 脱 机 。 在 理想 情况 下 ， 
每 当 一 台 计 算 机 退役 或 退出 服务 时 , 这 个 过 程 将 包括 从 Active Directory 中 删除 相关 的 计算 机 账户 一 一 但 这 种 情况 并 
不 经 常 发 生 。 最 终 ， 在 Active Directory 中 会 出 现 许多 陈旧 的 计算 机 对 和 象 。 作 为 一 名 管理 员 ， 需 要 知道 如 何 找 到 这 些 
计算 机 对 象 ， 以 及 之 后 如 何 使 用 它们 。 以 下 是 我 们 建议 的 处 理 陈旧 计算 机 账户 的 高 级 流程 : 

(1) 定义 组 织 中 的 陈旧 计算 机 对 象 。 这 是 一 台 180 天 没有 任何 活动 的 电脑 吗 ?90 天 ?45 天 ? 在 现实 世界 中 ,90 
天 是 一 个 非 前 典型 的 数字 ， 但 也 可 能 有 理由 把 这 个 数字 变 得 更 小 或 更 大 。 

(2) 运行 PowerShell 查询 ， 以 查找 所 有 陈旧 的 计算 机 对 象 。 将 查询 结果 输出 到 .cs 文件 。 将 结果 发 送 给 IT 部 门 
的 关键 人 员 ， 通 知 他 们 陈旧 的 计算 机 对 象 被 设置 为 删除 。 给 他 们 提供 计划 删除 的 日 期 ， 给 他 们 大 约 两 周 的 时 间 来 检 
得 电脑 。 

G) 禁用 所 有 陈旧 的 计算 机 对 象 ， 并 将 它们 移动 到 专用 OU 中 。 通 常 ，OU 用 于 等 待 永久 删除 的 对 象 。 将 陈旧 
的 计算 机 对 象 移 到 OU 中 ， 并 等 待 几 天 。 这 是 在 永久 删除 计算 机 对 象 之 前 的 最 后 一 个 安全 网 。 因 为 在 这 一 步 中 ， 计 
算 机 对 象 是 和 被 茶 用 的 ， 所 以 我 们 经 前 听 到 与 计算 机 对 象 相 关 的 问题 (因为 一 旦 计算 机 被 茶 用 ， 束 不 能 使 用 它 ， 并 且 
经 常 发 现 使 用 了 没有 人 想到 或 记 住 的 计算 机 对 象 )。 

(4) 等 待 一 两 周 。 建 议 至 少 等 几 天 。 在 等 待 期 之 后 ， 永 人 删除 陈旧 的 计算 机 对 象 。 

(5) 每 年 重复 这 个 过 程 两 次 。 

有 一 些 命令 有 助 于 找到 陈旧 的 计算 机 对 象 并 移动 它们 。 使 用 以 下 命令 查找 90 天 未 登录 的 计算 机 账户 : 

Search—ADAccount ComputersOnly -AccountInactive TimeSpan "90" 

注意 给 时 间 有 段 使 用 了 单 引号 。 虽 然 引 号 通常 是 可 选 的 ， 但 是 它们 在 使 用 -TimeSpan 参数 时 是 强制 性 的 。 

使 用 以 下 命令 查找 90 天 内 未 注册 的 计算 机 账户 ， 然 后 将 其 移动 到 New computers OU : 


Search—-ADAccount -Computersonly -AccountInactive -TimeSpan 90" | Move—~-ADObject 
-TargetPath ‘OU=Stale computers,OQU=Contoso, DC=Contoso,DC=com'" 


9.4.2 用户 管理 


在 Active Directory 模式 中 ， 一 个 关键 的 结构 类 是 User。 用 户 对 象 代表 User 类 。 在 大 多 数组 织 中 ， 单 个 用 户 对 
象 与 单个 雇员 、 承 包 商 或 任何 其 他 需要 在 网 络 上 进行 刁 份 验证 和 授权 的 实体 相关 联 。 例 如 ， 当 新 员工 开始 在 公司 工 
作 时 ， 为 他 们 创建 新 的 用 户 对 象 。 用 他 们 的 标识 信息 填充 对 象 属性 ， 比 如 工作 地 址 、 工 作 电话 号 码 和 经 理 的 姓名 。 
在 日 第 管理 工作 中 ， 会 定期 处 理 用 户 对 象 。 无 论 创建 新 用 户 对 象 、 重 置 密码 或 删除 用 尸 对 象 ， 都 需要 非常 熟悉 这 些 
常见 任务 。 

与 计算 机 对 象 一 样 ， 新 创建 的 用 户 账户 有 一 个 默认 位 置 。 默 认 位 置 是 树 根 中 的 Users 容器 。 因 为 Users 是 一 
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个 容器 ， 所 以 不 能 将 GPO 链接 到 它 。 因 此 ， 从 安全 角度 看 ， 应 该 义 量 不 将 用 户 对 象 (甚至 是 新 创建 的 用 户 对 和 象 ) 
存储 在 那里 。 因 为 Users 容器 中 的 用 户 对 象 不 会 应 用 任何 GPO， 所 以 可 以 使 用 Redirusr 命令 更 改 新 创建 的 用 户 对 
象 的 默认 位 置 一 一 应 该 这 样 做 。 要 将 用 户 对 象 的 默认 位 置 更 改 为 树 根 的 Contoso OU 下 的 New users, 运行 如 下 命令 : 

Redirusr 'QU=New users,QU=Contoso, DC=Contoso, DC=Com 

与 Active Directory 中 的 其 他 对 象 一 样 ， 模 式 定 义 了 关于 用 户 对 象 的 规则 。 例如， 用 户 对 象 具 有 一 组 强制 的 特定 属 
性 。 换 句 话 说 ， 在 创建 用 户 对 象 时 ， 必 须根 据 用 户 对 象 的 模式 规则 填充 属性 。 人 否则， 束 不 能 创建 新 的 用 户 对 象 。 除 
了 强制 属性 之 外 ， 还 有 许多 可 选 属性 。 可 选 属性 允许 填充 有 关 用 户 账 户 的 其 他 信息 ， 如 联系 信息 、 职 位 名 称 和 账户 是 
否 到 期 。 图 9.9 显示 了 用 户 对 象 的 强制 属性 列表 。 请 注意 ， 此 清单 是 来 目 Active Directory 模式 管理 控制 台 的 一 个 片段 。 


Name Type Descnption Source Class 


Fa sAMAccountName Mandatory SANM-Account-Name securityPrincipal 
Mandatory OQbjyect-$id securityPrincipal 
Mandatory Common-Name mailRecipient 
Mandatory Common-Name person 
Mandatory OQbject-Class top 

L objectCategory Mandatory Object-Category top 

Lr nTSecurityDescriptor Mandatory NT-Security-Descriptor top 

a instanceTlype Mandatory 世 Instance- Type top 


9.9 强制 属性 


强制 属性 就 是 强制 的 。 好 消息 是 ， 管 理工 具 通 冲 会 目 动 处 理 其 中 的 一 些 属性 。 例 如 ， 当 使 用 GUI 工具 中 的 癌 导 执行 
新 用 户 创 建 过 程 时 ， 这 些 工具 将 填充 objectClass、objectCategory、nTSecurityDescriptor、objectSid 和 instanceType 属性 。 
表 9.4 列 出 了 一 些 目 动 填充 的 属性 。 
表 9.4 自动 填充 的 属性 
属性 描述 
objectSid <Unique, per domain> 域 前 缀 + 域内 唯一 的 相对 标识 符 ( 了 ID) 


oiecician 要 所 和 更 具 或 人 令 计 和 


CN=Person.CN=Schema.CN=Conf 


objectCategory 在 模式 中 定义 对 象 类 别 


lgtration.DC=Contoso.DC=com 


nTSecuntyDescriptor | Schema + Inhented 合并 可 继承 权限 和 用 户 对 象 模式 中 的 默认 权限 
i 在 
sAMAccountName 用 于 登录 的 字符 串 ， 例 如 Brian 


这 涵 兰 了 目录 中 用 户 对 象 的 一 些 信息 。 现 在 浏览 一 下 与 用 户 账 户 相 关 的 一 些 党 理 任务 ， 如 用 户 创 建 和 用 户 管理 。 
可 以 使 用 PowerShell 创建 一 个 新 的 用 户 账 成， 并 填充 一 些 属 性 : 

New-ADUser -Name ”BITIan Svidergol" ~GilivenName ‘Brian' -Surname "3SVlIadergol 
-SamaccountName "bsvidergol" ~UserPrincipalName “bsvidergollcontoso.com' 


-AccountPassword (ConvertTo-SecureSstring "Df/838&” 3duyrelieWWX" AsPlainText 
-Force) -Enabled s$true 


如 果 没 有 指定 账户 密码 ， 将 无 法 局 用 该 账户 。 

可 使 用 PowerShell 批量 创建 新 的 用 户 账户 。 首 先 创建 一 个 .csv 文件 ， 其 中 包含 用 户 账户 具有 的 属性 以 及 用 户 账 
户 信 息 。 下 面 的 文本 是 一 个 示例 .csv 文件 ， 其 中 显示 了 名 、 姓 、 显 示 名 、 姓 名 、sAMAccountName、 密 码 和 用 户主 
体 名 (UPN)。 有 两 个 用 户 一 一 Brian Svidergol 和 Jack Jackson。 请 注意 ， 每 个 用 户 的 信息 都 在 一 行 上 显示 ， 但 本 书 会 
添加 换行 付 。 

First,Last,Display,Name, SAM, Password, UPN 

Brian,Svidergol,Brian Svidergol,Brian Svidergol,bsvidergol,Df/838&° 3duyrelieWWX,bs 

vidergol&contoso.com 


Jack, Jackson, Jack Jackson,Jack Jackson,Jjjackson,fIEUVU873#$feiACOVieu8,Jjjackson@ 
Contoso .com 


有 了 .csv 文件 后 ， 运 行 以 下 命令 ， 从 输入 文件 中 创建 新 用 户 账户 : 


Import-CsVT .\import.csv | foreach {New-ADUser ~GivenName 5 .First -Surname 35 . 
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Last -DisplayName 3 .Display -Name 5 .Name ~SamAccountName 3 .SAM -一 
AccountPassword (ConvertTo-SecureSstring $ .Password -AsPlainText Force) 
-UserPrincipalName $ .UPN -Enabled $Truel} 


批量 用 户 创建 方式 也 可 以 变 得 更 加 复杂 。 可 以 使 用 包含 员工 信息 的 现 有 电子 表格 ， 并 将 其 映射 到 Active 
Directory 属性 ， 然 后 将 其 用 于 初始 批量 用 户 的 创建 。 在 中 型 和 大 型 组 织 中 ,通常 有 一 个 用 于 跟 中 雇员 和 承包 商 的 人 
力 资源 软件 解决 方案 。 人 力 资源 软件 解决 方案 通常 是 员工 映 份 信息 (法 定名 称 、 头衔、 部门、 员工 ID 等 ) 的 权威 来 源 。 
人 力 资源 软件 通常 与 Active Directory 同步 。 当 人 力 资源 部 门 在 人 力 资源 软件 中 创建 新 的 员工 记录 时 , 在 下 一 次 同步 
期 间 束 会 创建 一 个 新 的 Active Directory 用 户 账 户 。 这 是 目 动 配置 的 。 有些 组 织 还 会 目 动 解除 配置 ， 当 员工 离开 组 织 
时 ， 该 功能 也 起 类 似 的 作用 。 

除了 创建 用 户 之 外 ， 还 需要 和 定期 修改 用 户 对 象 。 虽 然 可 以 轻松 地 使 用 GUI 工具 得 找 用 户 ， 更 新 文本 字段 中 的 
信息 ， 但 是 如 果 需 要 修改 许多 用 户 ， 这 就 很 低 效 。 下 面 看 几 个 这 样 的 场景 。 

对 于 第 一 个 场景 ， 使 用 PowerShell 将 部 门 为 Inside Sales、Onutside Sales 或 Sales Department 的 所 有 用 户 账 户 更 
改 为 Sales & Marketing 部 门 : 


Get-ADUSeTr -Filter {Department -like ‘*Sales*" -or Department -like ‘Marketing"} 
| Set-ADUser -Department “Sales & Marketing" 


注意 ， 我 们 可 在 管道 的 第 一 部 分 (在 Get-ADUser 命令 中 ) 或 在 检索 用 户 ( 在 使 用 Set-ADUser 命令 之 前 ) 之 后 过 渡 
检索 出 来 的 用 户 。 通 过 在 管道 的 早期 进行 过 滤 ， 命令 可 以 更 高 效 地 运行 。 我 们 不 必 检 索 每 个 用 户 ， 然 后 但 找 所 需 部 
门 的 用 户 ， 只 需要 检索 属于 这 些 部 门 的 用 户 (示例 中 所 做 的 工作 ， 这 样 效率 更 高 )。 


1. 使 用 PowerShell 创建 用 户 账户 报告 
从 组 织 的 各 个 部 分 收 到 的 常见 请 求 之 一 是 请 求 所 有 Active Directory 用 户 的 列表 。 各 部 门 都 要 使 用 这 些 信 息 。 例 
如 ， 有 时 每 个 用 户 账 己 都 有 软件 授权 。 有 了 时， 信息 安全 团队 希望 确保 所 有 用 户 都 是 经 过 授权 和 有 效 的 。 其 他 时 候 ， 


最 简单 的 方法 是 使 用 PowerShell。 在 下 面 的 命令 中 ， 所 有 用 户 账户 都 导出 到 包含 指定 信息 的 .csv 文件 中 。 


Get—-ADUser -Filter * ~Properties 

DisplayName, Department, Title,oOffice,City,SamAccountName,EmployeeID | Select 
DisplayName, Department,Title,oOffice,City,SamAccountName, EmpPloyeelID | Export-Csv 
-NoTypeInformation users.csv 


该 报告 的 缺点 是 ， 它 导出 了 所 有 用 户 对 象 的 列表 ， 即 使 这 些 对 象 是 禁用 的 ， 或 者 在 专用 于 服务 账户 的 OU 中 。 
通常 ， 应 该 使 用 过 滤器 来 减少 导出 的 用 户 对 象 ， 或 者 只 导出 特定 的 用 户 对 象 。 在 下 和 面 的 命令 中 ， 导 出 所 有 启用 的 、 
而 不 在 Service Accounts OU 中 的 用 户 账户 。 


Get—ADUser -Filter {Enabled -eq "True"} -~Properties 

DisplayName, Department, Title,OoOffice,City,SamAccountName, EmpPloyeelID | Where 
DistinguishedName -NotLike “*Service Accounts*" | select 

DisplayName, Department, Title,OoOffice,City,SamAccountName,EmployeelID | Export-Csv 
-NoTypelInformation users.csv 


在 此 命令 中 ， 使 用 过 滤器 只 检索 局 用 的 用 户 账户 。 然 后 ， 使 用 Where-Object (Where 是 别名 ) 来 确保 导出 的 用 户 
账户 不 在 Service Accounts OU 中 。 因 为 在 检索 完 所 有 对 象 后 对 位 置 进行 过 滤 ， 所 以 得 询 性 能 会 降低 。 有 时 需要 使 用 
Where-Object 进行 过 滤 。 


2. 使 用 PowerShell 管理 陈旧 的 用 户 账户 

自从 在 Windows Server 2008 R2 中 引入 Search-ADAccount cmdlet 以 来 ， 查找 陈旧 的 用 户 账户 就 大 大 简化 了 与 
本 章 前 面 讨论 的 计算 机 对 和 象 一 样 ， 用 户 对 象 也 可 能 变 得 陈旧 。 陈 旧 的 用 户 是 最 近 没 有 注册 的 用 户 。“ 最 近 ” 有 点 模 
糊 ， 但 它 通 党 意味 着 60 天 、90 天 或 180 天 。 陈 旧 的 用 户 对 象 代表 着 对 环境 的 一 各 风险。 它们 一 直 都 在 ， 可 以 局 用 ， 
随时 可 以 使 用 。 用 户 账户 可 以 访问 公司 数据 。 最 好 每 季度 运行 过 期 的 用 户 账户 查询 ， 这 样 束 可 以 修复 账 户 。 在 下 面 
的 命令 中 ， 得 到 了 所 有 90 天 没有 登录 的 用 户 账 户 。 


Search-aDACccount -UsersOnly -AccountInactive -TImeSpan ‘90" | where LastLogonDate 
-ne S$NULL | select Name,LastLogonDate 


请 注意 ， 使 用 一 个 过 滤器 来 清除 从 未 注册 的 账户 。 这 是 可 选 的 。 我 们 可 能 硕 望 查找 从 未 登录 过 的 账户 ， 但 这 个 
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操作 通常 与 陈旧 用 户 报告 分 开 执行 。 现 在 有 了 一 个 陈旧 用 户 账户 的 列表 , 应 该 如 何 处 理 它 们 呢 ? 以 下 是 我 们 的 建议 : 
(1) 禁用 陈旧 账户 。 
(2) 将 陈旧 的 账户 移 到 专用 的 OU( 如 Pending Deletiom) 或 类 似 命 名 的 OU。 
(3) 将 带 有 陈旧 账户 名 称 的 通知 发 送 到 IT 部 门 的 一 个 子 集 ， 以 便 检查 账户 。 有 时 ， 需 要 一 个 陈旧 的 用 户 账 户 ， 
所 以 这 种 通知 很 重要 。 
(4) 等 待 七 天 。 
(5) 删除 陈旧 的 账户 。 


3. 使 用 PowerShell 恢复 已 删除 的 账户 

可 使 用 PowerShell 恢复 已 删除 的 用 户 账户 ， 但 只 有 在 启用 了 Active Directory 回收 站 (并 且 在 删除 想 要 恢复 的 用 
尸 账户 之 前 ) 时 才 可 以 。 如 果 没 有 回收 站 ,被 删除 的 用 尸 对象 会 标记 为 墓碑 并 移动 到 Deleted Objects 容器 。 大 多 数 已 
填充 的 属性 都 被 清除 (例如 ， 组 成 员 关 系 )。 因 此 ， 从 Deleted Objects 容器 中 恢复 对 象 并 不 是 很 有 帮助 。 但 是 ， 当 启 
用 回收 站 时 ， 被 删除 的 用 户 对 象 不 会 标记 为 人 墓碑。 相反 ， 它 在 逻辑 上 被 删除 ,但 属性 数据 得 到 维护 ， 以 便 将 用 户 对 
象 恢复 到 删除 时 的 状态 。 

使 用 以 下 命令 ， 可 以 查看 Deleted Objects 容器 中 已 删除 对 象 的 完整 列表 。 


Get—ADObject -SearchBase "CN=Deleted Objects,DC=contoso, DC=Com 
-IncludeDeletedObjects 


注意 -IncludeDeletedObjects 参数 的 使 用 。 没 有 它 ， 就 不 会 得 到 任何 被 删除 的 对 象 ! 命令 的 输出 包括 用 户 和 计算 
机 。 在 大 型 的 活动 环境 中 ， 需 要 使 用 过 小 器 来 减少 输出 。 

一 旦 验证 了 要 恢复 的 对 象 存在 ， 就 可 以 使 用 Restore-ADObject 使 其 恢复 。 在 下 面 的 示例 中 ， 使 用 PowerShell 恢 
复 一 个 名 为 Mary 的 用 户 账户 。 


Get—-ADObject -SearchBase "CN=Deleted Objects DC=Ccontoso DC=com" -Filter {Name 
-Like "Mary*'} -IncludeDeletedObjects | Restore~ADObject 


请 记 住 ， 这 只 在 局 用 回收 站 时 有 效 。 默 认 情 况 下 不 局 用 。 要 为 contoso.com 域 忆 用 它 ， 可 运行 如 下 命令 : 


Enable-ADOptionalFeature 

-Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory 

Service, CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com'" ~Scope 
ForestOrConfigurationSset 一 Iarget "contoso.com' 


9.4.3 组 管理 


Active Directory 用 于 身份 验证 和 授权 。 授 权 部 分 允许 用 户 访问 资源 。 在 配置 授权 时 ， 最 好 使 用 组 。 例 如 ， 与 其 
单独 授予 用 户 对 共享 文件 夹 的 读 取 访问 权 ， 还 不 如 创建 一 个 组 并 对 组 授予 访问 权 。 这 样 ， 在 将 来 ， 当 用 户 需 要 访问 
共享 文件 严 时 ， 可 以 回 组 中 添加 用 户 。 作 为 管理 员 ， 要 定期 处 理 组 。 在 讨论 组 的 处 理 之 前 ， 和 驳回 顾 一 下 有 关 Active 
Directory 组 的 一 些 关 键 概念 。 


1. 组 的 类 型 
在 Active Directory 中 可 以 使 用 两 种 类 型 的 组 : 安全 组 和 分 发 组 。 安 全 组 用 于 允许 或 拒绝 访问 。 分 发 组 用 于 电子 
邮件 (通常 与 Microsoft Exchange 结合 使 用 )。 本 章 将 关注 安全 组 。 
2. 组 的 作用 域 
有 三 个 组 作用 域 。 每 个 作用 域 都 与 一 些 不 同 的 用 例 和 场景 相 一 致 。 然 而 ， 也 有 一 些 重 登 。 表 9.5 定义 了 作用 域 。 
表 9.5 组 的 作用 域 
组 的 作用 域 可 以 被 授予 权限 注意 
地域 森林 中 的 任何 域 (除非 必须 在 同 该 域 对 信任 的 环境 有 用 ， 因 此 可 以 从 可 信 的 域 
一 域 中 的 某 个 域 本 地 组 ) 中 添加 全 局 组 作为 成 员 


全 局 森林 中 的 任何 域 。 | 经 常用 作 和 角色 组 ， 然 后 嵌 套 到 域 本 地 组 中 


通用 | | 森林 中 的 任何 志 
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许多 管理 员 选 择 使 用 基于 角色 的 访问 控制 RBAC)， 给 用 户 和 其 他 管理 员 授予 访问 权限 。 有 了 RBAC， 角 色 就 
有 了 组 。 角 色 经 党 与 工作 职能 联系 在 一 起 。 例 如 ， 有 一 个 名 为 Email Administrator 的 角色 ， 还 有 一 个 名 为 Email 
Administrators 的 组 ， 用 于 该 角色 。 使 用 远程 桌面 ， 可 以 给 Email Administrators 组 授予 连接 到 电子 邮件 服务 器 的 权 
限 。 在 这 种 情况 下 ， 通 常 使 用 域 本 地 组 进行 权限 授予 。 在 这 个 场景 中 ， 可 以 创建 一 个 名 为 RDP-Email 的 域 本 地 组 并 
分 配 权限 。 然后， 将 Email Administrators 角色 组 添加 到 RDP-Email 组 。 大 多 数 角 色 都 合并 了 很 多 权限 ， 许 多 管理 员 
部 有 多 个 角色 。 了 解 组 作用 域 和 每 个 作用 域 的 限制 ， 为 在 环境 中 实现 和 支持 RBAC 做 好 准备 。 


3. 组 和 令 牌 大 小 

当 用 户 登 录 计 算 机 时 ， 本 地 安全 机 构 (LSA) 就 生成 一 个 访问 令 牧 。 对 于 用 户 所 属 的 每 个 组 (包括 藤 套 组 )， 该 令 牌 
用 于 获得 对 资源 的 访问 权限 ， 其 中 包含 安全 标识 符 (SID)。 它 工作 得 很 好 ， 大 多 数 用 户 (甚至 许多 管理 员 ) 都 不 熟悉 访 
问 令 牌 的 创建 过 程 。 那 是 因为 没有 太 多 的 需求 。 但 是 ， 如 采访 问 令 牌 的 规模 太 大 ， 事 情 就 会 迅速 改变 。 访 问 令 牌 最 
多 可 容纳 1024 个 SID。 然 而 ， 默 认 使 用 9 个 SID。 剩 下 1015 个 SID。 这 个 数字 在 文档 中 可 能 有 所 不 同 ， 有 时 显示 
为 1010 个 SID。 如 采用 户 的 访问 令 牌 超过 SID 的 最 大 数量 ， 则 LSA 可 能 无 法 创建 访问 令 脾 。 这 将 导致 用 户 无 法 登 
录 ! 这 个 问题 在 大 型 企业 环境 (或 复杂 环境 ) 中 称 为 令 牌 膨胀 ， 令 牌 膨胀 通 第 是 一 场 水 无 止境 的 战斗 。 

表面 朱 述 了 一 个 用 户 无 法 登录 的 场景 ， 因 为 他 加 入 了 太 多 的 组 (并 且 无 法 生成 访问 令 牌 )。 然 而 ， 在 到 达 无 法 生 
成 访问 令 牧 的 临界 点 之 前 ， 还 会 出 现 一 些 其 他 问题 。 看 看 下 面 两 种 情况 : 

令 ”用 户 是 几 百 个 组 的 成 员 。 他 可 以 注册 ， 但 不 能 访问 IS 里 的 一 些 网 站 。 这 是 因为 在 Windows Server 2012 

之 前 ，IIS 默认 情况 下 为 身份 验证 缓冲 区 分 配 了 12 000 字 节 。Windows 7 和 Windows Server 2008 R2 也 有 
12 000 字 节 的 默认 缓冲 区 。 好 消 晨 是 ，Windows 8 及 以 后 版 本 ， 以 及 Windows Server 2012 及 以 后 版 本 的 
默认 缓冲 区 大 小 为 48 000 字 节 。 

多 。 用 户 是 几 百 个 组 的 成 员 。 他 可 以 注册 ， 但 在 获取 一 些 依赖 RPC 的 资源 方面 ， 遇 到 了 一 些 问题 。 这 种 情况 

下 , RPC 依赖 于 与 IS 相同 大 小 的 身份 验证 缓冲 区 。 最 大 的 影响 是 运行 Windows 8 之 前 的 客户 机 操作 系统 ， 
或 者 运行 Windows Server 2012 之 前 的 服务 器 操作 系统 。 

对 于 Windows 8 和 Windows Server 2012 之 前 的 操作 系统 ， 可 以 设置 Registry 设置 ， 以 增加 默认 缓冲 区 的 大 小 。 
控制 缓冲 区 大 小 的 设置 是 : 

HEEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\ axXIoKkenSlze。 

在 许多 环境 中 ， 需 要 添加 MaxTokenSize DWORD(32 位 ) 值 (REG _DWORD)。 将 值 设 置 为 48 000( 十 进 制 )。 

对 于 IS， 可 创建 两 个 新 值 ，MaxFieldLength 和 MaxRequestBytes。 它 们 可 以 在 HKEY LOCAL MACHINE' 
Systemm\CurrentControlSet\Services\HTTP\ 参 数 中 创建 。 将 MaxFieldLength 设置 为 32 768( 注 意 ， 最 大 值 为 65 534)。 将 
MaxRequestBytes 设置 为 32 768， 以 匹配 MaxFieldLength 值 。 在 创建 Registry 项 之 后 ， 重 新 局 动 服务 器 。 

对 于 大 多 数 环境 ， 应 该 使 用 Group Policy 来 设置 Registry 设置。 这 有 助 于 减少 管理 开销 ， 并 确保 所 有 计算 机 都 
有 相同 的 设置 。 


4. 创建 新 组 

在 ADUC 或 ADAC 中 创建 新 组 非常 简单 。 可 以 右 击 要 创建 组 的 OU， 然 后 使 用 上 下 文 沫 单 局 动 New Group 
Wizard。 输 入 名 称 并 选择 组 的 类 型 ， 束 完成 了 。 本 节 将 重点 介绍 如 何 使 用 PowerShell 创建 组 。 

下 面 的 命令 将 创建 一 个 新 的 全 局 安全 组 ， 名 为 Finance department。 


New—-ADGroup -Name “Finance Department ~GroupCategory Security -GroupSscope Global 
-Description "All members of the Finance Qepartment 


一 次 创建 一 个 组 时 ， 通 常会 使 用 ADUC 或 ADAC， 因 为 它们 使 用 起 来 快速 而 简单 。 但 一 次 创建 许多 组 时 ， 就 
要 使 用 PowerShell。 假 设 有 一 个 由 50 个 组 组 成 的 列表 ， 要 创建 它们 ， 应 将 组 名 放 入 一 个 文本 (.txt) 文 件 中 (每 行 一 个 
组 名 )， 保 存 为 Groups.txt。 然 后 ， 运 行 以 下 命令 来 创建 50 个 组 : 

$Groups = Get-Content .\Groups.txt 


foreach ($Group in S$Groups) { 
New-ADGroup -Name S$Group -GroupCategory Security -GroupScope Global } 


可 以 添加 更 多 的 复杂 性 来 满足 需求 。 例 如 ， 可 以 使 用 .cs 文件 作为 输入 ， 让 许多 不 同 的 组 拥有 不 同 的 作用 域 和 
不 同 的 OU 位 置 。 


234 | 精通 Windows Server 2016( 第 6 版 ) 


5. 问 组 沫 加 成 员 

创建 组 之 后 , 通 第 需要 问 组 中 添加 一 些 成 员 。 添 加 单个 成 员 非 营 简 单 。 在 ADUC 中 ,获取 组 的 属性 , 进入 Member 
选项 卡 ， 然 后 添加 成 员 ! 在 PowerShell 中 ， 要 将 名 为 Brian 的 用 户 添加 到 名 为 Server Administrators 的 组 ， 可 以 运行 
以 下 命令 : 

Add-ADGroupMember -Identity 'Server Administrators' -Members Brian 

如 果 有 一 个 包含 50 个 用 户 的 列表 ， 要 添加 到 Server Administrators 组 中 ,该 怎么 办 ? 这 也 很 简单 。 将 用 户 ( 每 行 
一 个 ) 添 加 到 名 为 Users.txt 的 文本 文件 中 。 然 后 运行 以 下 命令 : 


Get-Content .\Users.txt | foreach (S$User in S$Users) {Add-ADGroupMember ~—Identity 
Group2 -Mempers S$User} 


请 注意 ， 与 创建 新 组 相 比 ， 这 里 使 用 的 方法 略 有 变化 。 它 只 是 一 行 代 码 。 前 面 的 方法 使 用 了 几 行 代码 。 在 
PowerShell 中 ， 通 常 有 多 种 方法 来 完成 同样 的 工作 。 有 些 更 有 效 ， 有 些 更 容易 理解 或 记忆 。 下 面 是 男 一 个 同 组 中 添 
加 成 员 的 场景 。 假设 有 一 个 包含 50 个 用 户 的 列表 , 每 个 用 户 需 要 添加 到 50 个 组 。 则 应 该 把 组 添加 到 名 为 Groups.txt 
的 文件 中 ， 每 行 一 个 组 。 再 把 用 户 添加 到 名 为 users .txt 的 文件 中 ， 每 行 一 个 用 户 。 然 后 ， 运 行 以 下 命令 : 

$Groups = Get-Content -NGroups .txt 


foreach ($Group in S$Groups) { 
Add-ADGroupMember -Identity $Group ~Members (Get-Content .\Users.txt)} 


注意 ， 这 个 示例 没有 检查 用 户 是 否 已 经 是 组 的 成 员 。 但 是 ， 如 果 打 算 定 期 执行 这 种 批量 更 新 ， 应 该 添加 检查 和 
错误 处 理 ， 以 使 脚本 具有 完整 的 功能 。 


9s Group Policy 


前 面 讨论 了 设计 Active Directory 环境 、 域 控制 器 和 对 象 管理 ， 但 是 几乎 没有 涉及 Active Directory 中 的 一 项 天 
键 技术 : Group Policy。 大 多 数 人 都 知 庆 什么 是 Group Policy， 还 可 能 经 常 使 用 它 。 

Group Policy 在 大 多 数 Active Directory 环境 中 起 痢 关 键 作 用 。 这 是 因为 Group Policy 通常 是 用 于 保护 服务 器 和 
客户 机 的 配置 管理 技术 之 一 。 如 果 Group Policy 配置 不 正确 ， 计 算 机 可 能 不 像 需 要 的 那样 安全 一 一 这 可 能 寻 致 渗透 
或 更 糟 的 结果 。 

在 研究 Group Policy 的 一 些 操作 方面 之 前 ， 先 了 解体 系 结构 的 一 些 细 节 。Group Policy 对 象 (GPO) 在 一 组 文件 和 
Active Directory 数据 库 中 定义 。Group Policy 模板 文件 具有 核心 配置 ,例如 GPO 设置 。 名 为 GPT.INI 的 文件 提供 了 
GPO 的 版 本 号 (每 次 更 新 GPO 时 ,版 本 号 都 会 递增 )。 该 文件 存储 在 每 个 域 控 制 器 上 的 SYSVOL\<yourdomain>\Policies 
目录 中 。 每 个 GPO 在 Policies 目录 中 都 有 一 个 单独 的 目录 。 目 录 名 是 GPO 的 GUID， 如 图 9.10 所 示 。 


| 加 = | {6AC1786C-016F-11D2-945F-00CO4fB984F9} 


Home Share Wiew 


v 小 Weontoso.com\SYSVOL\contoso.conM\PolicresM6ACTIS6C-016F-11D2-945F-00COMBISAFI | 
Name Date modified Type 
二 Quick access 
大 | Desktop 
起 Downloads 


MACHINE 12/B2016 dl? PM Filefolder 
USER aaAa016 11:08 AM File folder 
ny GPT 12/6/2016 2:33 PM Configuration settings 


eh 
| 各 Documents 


[性 | Pictures 


ll This PC 


图 9.10 Group Policy 模板 文件 


在 图 中 ， 注 意 文件 的 路 径 。 可 以 看 到 ， 以 GUID 命名 的 目录 当前 位 于 GPO 的 主 目录 中 。 名 为 MACHINE 的 子 
目录 包含 GPO 的 任何 配置 计算 机 设置 。 名 为 USER 的 子 目录 包含 GPO 的 任何 配置 用 户 设 置 。 

在 Active Directory 数据 库 中 ， 有 一 个 Group Policy 容器 ， 用 于 存储 关于 GPO 的 其 他 信息 ， 例 如 GPO 文件 的 文 
件 路 径 和 GPO 的 显示 名 称 。 但 是 Group Policy 信息 还 存储 在 哪里 呢 ? Group Policy 链接 作为 属性 值 存 储 在 诸如 OU 
的 对 象 上 。 例 如 ， 如 果 有 一 个 GPO 链接 到 OU， 那么 OU 的 gPLink 属性 值 就 是 GPO 的 LDAP 路 径 。 例 如 : 
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[LDAP: //CN={6ACl1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System, DC=contoso, DC= 
com:;01] 


有 趣 的 是 , Group Policy 是 通过 两 种 不 同 的 机 制 复 制 的 ,一 种 机 制 是 DFS-R( 分 布 式 文件 服务 复制 ) 复 制 Group 
Policy 模板 文件 。 在 Windows Server 的 旧版 本 中 (偶尔 在 更 新 或 升级 域 的 Windows Server 新 版 本 中 ),， 使 用 FRS 
(文件 复制 服务 )。 但 是 ，DFS-R 更 受 欢迎 ， 因 为 它 具 有 更 好 的 性 能 和 稳定 性 。Group Policy 复制 的 第 二 部 分 是 
通过 常规 的 Active Directory 复制 处 理 的 (在 大 多 数 情 况 下 使 用 RPC over IP， 尽 省 RPC over SMTP 是 可 选 的 ， 
但 是 降级 了 )。 


9.5.1 Group Policy 的 继承 和 执行 


对 一 些 人 来 说 ， 这 些 信息 可 能 是 快速 的 复习 。 如 果 非 党 熟悉 链接 、 继 承 和 强制 ， 请 跳 到 下 一 节 。 

Group Policy 链接 是 获取 GPO 并 将 其 与 Active Directory 中 的 一 个 或 多 个 位 置 关 联 起 来 的 过 程 。GPO 可 以 链接 
到 域 、 站 点 或 QU。 在 本 市 稍 后 的 部 分 中 ， 将 展示 如 何 将 GPO 与 PowerShell 链接 起 来 。 

Group Policy 继承 与 NTFS 继承 类 似 , 与 父 OU( 或 更 高 级 别 的 OU) 相关 的 策略 由 其 子 OU( 或 更 低级 别 的 OU) 
继承 。 假 设 有 一 个 名 为 Servers 的 OU。 在 Servers OU 下 面 ， 有 一 个 名 为 SQL Server 的 QU。 如 果 把 一 个 GPO 
链接 到 Servers OU，SQL Server OU 会 目 动 继 承 它 。 这 通 各 是 需要 的 ， 因 为 它 减 少 了 管理 开销 (想象 一 下 必须 将 
GPO 显 式 地 链接 到 需要 它 链接 到 的 每 个 OU! )， 但 继承 偶尔 也 会 产生 问题 。 看 看 图 9.11 中 的 一 个 场景 。 然 后 
讨论 它 。 

在 图 9.11 中 ， 有 一 个 名 为 Server Config 的 GPO。GPO 为 Windows 服务 器 指定 事件 日 志 设 置 。 由 于 继承 关 
系 ，GPO 还 将 设置 应 用 于 SQL Server 子 OU 中 的 SQL Server 计算 机 。 稍 后 ， 数 据 库 团 队 报 告 ， 事 件 日 志 不 够 
大 ， 无 法 容纳 数据 库 服 务 器 上 的 大 量 事件 日 志 条 目 。 应 该 怎么 做 ? 可 以 使 用 Group Policy 继承 阻塞! 继承 阻塞 
是 在 OU 级 别 配置 的 。 在 本 例 中 ， 可 在 SQL Server OU 上 配置 继承 阻塞 那么，Server Config GPO 将 不 应 用 于 
SQL Server OU 中 的 计算 机 。 但 是 请 注意 ， 这 将 增加 环境 的 复杂 性 ， 并 使 故障 排除 变 得 更 加 复杂 。 建 议 只 有 在 
必须 时 才 使 用 继承 阻塞 (例如 ， 更 改 OU 布局 或 使 用 WMI 过 滤器 时 ， 不 能 使 用 继承 阻塞 )。 关 于 使 用 继承 阻塞 
还 有 几 个 要 后 需要 讨论 。 


GPO 链 接 到 
WinServers OU 


Config 


WinServers 


二 
要 
二 
通 


本 


最 


SOQL Server 


SQL Server OU 中 的 服务 器 没有 应 用 
Server Config GPO 中 的 设置 


9.11 Group Policy 继承 
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令 ”使 用 继承 阻 寒 时 ， 不 要 选择 不 继承 哪些 GPO。 相 反 ， 在 父 级 或 更 高 级 别 链接 的 所 有 GPO 都 被 阻塞 。 
令 ”GPO 链接 可 以 强制 执行 。 当 一 个 链接 被 强制 执行 时 ， 它 会 履 冀 继承 阻 寨 。 这 意味 着 即使 局 用 了 继承 阻 寒 ， 
也 会 应 用 强制 的 GPO。 
如 何 确定 环境 是 否 充 分 使 用 了 继承 阻塞 或 GPO 强制 执行 ? 下 面 看 看 如 何 使 用 PowerShell 快速 找到 答案 。 以 下 
命令 检查 所 有 的 OU， 只 返回 配置 为 阻止 继承 的 OU: 


Get-ADOTGan1Izat1lIonalLUnlt -Filter * | Get-GPInheritance | where 
GpolInheritanceBlocked -eqg Yes” | Select Name, Path,GpolnheritanceBlocked 


下 面 的 命令 检查 环境 中 的 强制 GPO 链接 ， 返 回 GPO 显示 名 、 链 接 目 标 和 强制 配置 (如 果 为 true): 


SOUs = Get—-ADOrganizationalUnit ~Filter 六 

foreach ($0OU in S$OUs) { 

(Get-GPInheTritance -Target $0U) .GpoLinks | where Enforced -eq 'True' | 
FL DisplayName, Target,Enforced)} 


有 时 ， 碍 找 关 于 Group Policy 的 信息 需要 创新 ， 如 最 后 一 条 命令 所 示 。 


9.5.2 ”Group Policy 的 日 常 工作 


顾 一 下 Active Directory 官 理 员 的 一 些 常 见 任务 , 尤其 是 关于 Group Policy 的 常见 任务 。 在 了 解 这 些 任 务 之 前 ， 
先 看 看 GroupPolicy PowerShell 模块 。 这 个 模块 包含 下 面 要 使 用 的 核心 Group Policy cmdlet。 表 9.6 显示 了 Group Policy 


cmdlet。 
表 9.6 Group Policy cmdlet 
cmdlet 和 名称 cmdlet 说 明 
Backup-GPO 在 一 个 命令 中 备份 一 个 GPO 或 所 有 GPO 
Copy-GPO 将 GPO 及 其 设置 复制 到 域 中 或 森林 的 男 一 个 域 中 的 新 GPO 
Get-GPInheritance 获取 域 或 OU 的 继承 配置 
Get-GPO 检索 GPO 的 属性 
Get-GPOReport 为 GPO 输出 HTML 或 XML 格式 的 报告 
Get-GPPermission 检索 GPO 的 当前 Group Policy 权限 
Get-GPPrefRegistryValue 检索 基于 Registry 的 首选 设置 
Get-GPRegistryValue 检索 基于 Registry 的 策略 设置 
Get-GPResultantSetOfPolicy 检索 用 户 或 计算 机 的 RSoP 信息 
Get-GPStarterGPO 检索 启动 程序 GPO 的 属性 
Import-GPO 从 备份 的 GPO 中 导入 设置 
Invoke-GPUpdate 在 计算 机 上 刷新 Group Policy 
New-GPLink 为 GPO 创建 一 个 新 链接 
New-GPO 创建 一 个 新 的 GPO 
New-GPStarterGPO 创建 一 个 新 的 启动 程序 GPO 
Remove-GPLink 删除 GPO 的 现 有 链接 (但 保留 GPO) 
Remove-GPO 删除 现 有 GPO 
Remove-GPPrefRegistryValue 从 GPO 中 删除 注册 表 首 选项 
Remove-GPRegistryValue 从 GPO 中 删除 注册 表 策略 项 
Rename-GPO 重 命 名 GPO 
Restore-GPO 恢复 GPO 
Set-GPInheritance 配置 继承 阻塞 或 删除 继承 阻塞 
Set-GPLink 更 改 GPO 链接 的 配置 
Set-GPPermission 更 改 GPO 的 权限 
Set-GPPrefRegistryValue 配置 注册 表 首 选项 
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1. 发 现 现 有 的 GPO 

可 以 使 用 Get-GPO 来 获得 GPO 的 属性 。 要 获得 所 有 GPO， 可 以 运行 Get-GPO -All 命令 。 注 意 ， 它 只 返回 一 些 
信息 ， 如 显示 名 、 所 有 者 、GPO 状态 和 版 本 信息 。 有 些 东 西 缺 失 了 ， 包 括 链 接 。 要 获得 链接 ， 需 要 得 看 可 以 链接 到 
的 对 象 : OU、 站 点 和 域 。 例 如 ， 运 行 以 下 命令 以 获得 到 Contoso 域 中 名 为 Servers 的 OU 的 任何 GPO 链接 : 


Get—ADOrganizationalUnit -Identity "QU=Servers,DC=contoso, DC=com" Properties * | 
FL Name,gPLink 


输出 显示 OU 的 名 称 和 链接 的 任何 GPO。 例 如 ， 下 面 是 Servers OU 的 一 个 链接 GPO: 


[LDAP://cn={788624D2-11E0-40A6-9024-03EACD6171D460}, cn=policies,cn=system, DC=contos 
oO; DC=com; 0] [LDAP: //cn={1307DAl17-1787-42BA-BF65-F61134FDAATA}, cn=policies,cn=syste 
m, DC=contoso, DC=com; 0 |] 


GPO 的 名 称 在 哪里 ? 该 命令 不 会 检索 它 。 它 会 检索 GPO 的 GUID。 要 获得 名 称 ， 可 使 用 GUID 获得 GPO 的 详 
细 人 信息， 例如 显示 名 称 : 

Get—-GPO -Guld "{/88624D2-11E0-40A6-39024-03EACD6G /D460}" | Select DisplavyName 

有 没有 更 好 的 方法 ? 有 ! 可 使 用 Get-GPInheritance cmdlet。 例 如 ， 如 果 想 知道 哪些 GPO 链接 到 contoso.com 域 
中 的 Servers OU， 请 运行 以 下 命令 : 


Get—GPINnheritance -Target “ou=Servers,dc=contoso,dc=com" 


这 个 命令 的 优点 是 它 报告 了 链接 GPO 的 显示 名 。 此 外 ,还 显示 了 继承 的 GPO, 该 GPO 在 更 高 的 级 别 链接 , 但 
仍然 适用 于 Servers OU( 如 默认 域 策 略 )。 输 出 如 下 所 示 : 


Name : Servers 

ContainerType : OU 

Path : OU=Servers,dc=contoso,dc=com 

GpoInheritanceBlocked : No 

GpoLinks : {Server-Config, Windows Firewalll} 

InheritedGpoLinks : {Server-Config, Windows Firewall, Default Domain Policy} 


2. 在 现 有 GPO 设置 上 运行 
如 果 要 确定 GPO 配置 的 设置 ， ee 云 行 GPO 报告 。 为 此 可 以 在 Group Policy 管理 控制 台 上 运行 ， 或 使 用 
PowerShell。 要 使 用 PowerShell 为 名 为 Server-Config 的 GPO 运行 报告 ， 运 行 以 下 命令 : 


Get-GPOReport -Name Server-Config -ReportType HTML -Path C:\Users\Brian-admin\ 
Desktop\Server-Config—-report.htm 


答 出 非 芝 好 ， 多 许 快 速 、 轻 松 地 浏览 设置 。 图 9.12 显示 了 HTML 输出 片段 。 


The settings in this GPO can only apply to the following groups. users. and computers 
Name 
NTAUTHORITT\Authenticated Users 


Name Allowed Permssions 
NTAUTHORITT\Authenticated Users Read (from Securnity Filtering) 
NTAUTHORITTIENTERPRISE DOMAIN CONTROLLERS Read 

NT AUTHORITSYSTEM Edit sattngs, delatea., mod secunity 


[i -一 一 [i .ordign 一 -一 (Enabled . 有 ) 


Poliecy Teting 

Access this computer from the metwork BUILTIMPre- Windows 2000 Compatible 
CONTROLLERS, NT AUTHOR 

Add worksiations to domain NT AUTHORITT\Authenticated Users 


图 9.12 ”HTML 输出 片段 
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还 可 将 设置 导出 到 XML 文件 中 ， 如 果 和 希望 给 脚本 重用 设置 ， 这 将 很 有 帮助 。 


3. 使 用 PowerShell 修改 GPO 的 一 些 设置 

大 多 数 管理 员 使 用 Group Policy 管理 编辑 上 融 修改 GPO 设置 。 这 是 因为 GUI 工具 是 有 效 修改 GPO 中 大 多 数 设 置 
的 唯一 方法 (除了 第 三 方 工具 )。 随 着 Set-GPRegistryValue cmdlet 的 引入 ， 现 在 可 以 使 用 PowerShell 修改 GPO 中 基 
于 注册 表 的 设置 。 它 不 大 有 效 ， 因 为 只 有 调用 该 值 的 整个 路 径 ， 知 道 值 名 、 值 类 型 和 值 设 置 ， 才 能 创建 命令 。 但 是 
想象 一 下 ， 客 户 机 有 35 个 GPO( 每 个 分 支 机 构 有 一 个 GPO)， 还 有 几 个 用 于 Internet Explorer 的 注册 表 设置 要 放 入 
所 有 35 个 GPO 中 。 这 时 可 使 用 Set-GPRegistryValue 和 PowerShell 使 这 个 过 程 更 简单 (也 更 快 )。 下 面 看 看 是 如 何 做 
到 的 。 首先 将 35 个 GPO 的 显示 名 称 输入 一 个 名 为 GPOs.txt 的 文本 文件 (每 行 一 个 GPO 显示 名 称 )。 如 果 35 个 GPO 
以 Client Computer 开头 (例如 Client Computer Dallas 和 Client Computer NYC)， 可 以 运行 以 下 命令 创建 输入 文件 : 

Get—GPO -AL | where DisplayName -Like “Client Computer*" | select DisplayName -ExpandProperty 
DisplayName | Out-File GPOs.txt 

接 下 来 , 运行 以 下 命令 来 添加 一 个 注册 表 项 ， 以 禁用 Internet Explorer 中 的 Adobe Flash( 这 只 是 一 个 注册 表 项 的 
示例 )。 这 些 命令 假定 是 从 GPOs.txt 文件 所 在 的 目录 中 运行 它们 。 如 果 没 有 ， 束 在 第 一 个 命令 中 指定 GPOSs.txt 文件 
的 完整 路 径 。 

5GPOs = Get-Content .\GPOs.txt 

foreach ($GPO in S$GPOs) { 


Set-GPRegistryValue -Name S$GPO -Key ‘HKLM\Software\Policies\Microsoft\Internet 
Explorer" ~ValueName "DisableFlashinIE" ~Type String -Value "1°"} 


虽然 PowerShell 在 修改 GPO 设置 方面 有 一 些 限 制 ， 但 在 刚才 描述 的 场景 下 使 用 它 仍 是 有 效 的 。 


4. 使 用 PowerShell 链接 GPO 

与 许多 GPO 设置 一 样 ， 如 果 只 做 了 一 些 更 改 或 添加 ， 那 么 GUI 工具 可 能 是 最 简捷 的 链接 方法 。 但 是 一 旦 有 多 
个 任务 (或 者 需要 每 天 或 每 周 多 次 执行 相同 的 任务 )， 应 该 求助 于 PowerShell 来 最 小 化 管理 开销 。 在 Group Policy 管 
理 控 制 台 和 PowerShell 中 ， 链 接 GPO 非常 简单 。 

要 将 名 为 Client Computers NYC 的 GPO 链接 到 contoso.com 域 中 名 为 NYC 的 子 OU( 在 名 为 Contoso 的 父 OU 
中 )， 运 行 以 下 命令 : 

New-GPLink -Name 'Client Computers NYC' -Target 'OU=NYC,OU=Contoso, DC=contoso DC=com' 

要 将 名 为 Client Computer Security Settings 的 GPO 链接 到 以 Client Computers 开头 的 所 有 OU (如 Client Computers 
NYC 和 类 似 名 称 )， 运 行 以 下 命令 : 

sOUs = Get-ADOrganizationalUnit -Filter {Name -like 'Client Computers*"} 


foreach (SOU in S$OUs) { 
New-GPLink -Name ‘Client Computer Security Settings' -Targdet $0OU} 


有 了 PowerShell， 可 以 做 更 多 工作 。 例 如 ， 如 果 想 构建 一 个 .csv 文件 ， 其 中 Columnl 是 GPO 的 名 称 ，Column2 
是 要 链接 的 OU DN， 那 么 可 以 使 用 PowerShell 来 实现 这 些 链接 。 


5. 使 用 PowerShell 处 理 GPO 链接 
本 章 前 面 讨论 了 GPO 链接 、 继 承 和 执行 。 本 节 将 通过 几 个 例子 来 演示 如 何 通 过 PowerShell 使 用 GPO。 
要 将 名 为 Server-Config 的 GPO 强制 链接 到 名 为 Servers 的 OU 上 ， 运 行 以 下 命令 : 


Set-GPLInK -Name Server—-Config -Target ‘OU=Servers,OU=Contoso,DC=contoso,dc=com' 
Enforced Yes 


有 时 ， 可 能 需要 禁用 GPO 链接 。 例 如 ， 如 果 将 GPO 链接 到 OU， 但 结果 并 不 是 期 望 的 ， 就 可 能 希望 禁用 该 链 
直至 能 够 解决 问题 为 止 。 要 禁用 名 为 Server-Config 的 GPO 到 名 为 Servers 的 OU 上 的 链接 ， 运 行 以 下 命令 : 


Set-GPLink -Name Server-Config -Target ‘OU=Servers,OU=Contoso, DC=contoso,dc=com' 
-LinkEnabled No 


要 再 次 启用 该 链接 ， 可 将 LinkEnabled 参数 的 值 更 改 为 Yes。 
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6. 诊断 Group Policy 的 故障 

Group Policy 是 一 个 复杂 的 主题 。 在 某 些 环境 中 ，Group Policy 的 实现 也 很 复杂 。 当 没有 应 用 GPO， 或 者 错误 
的 GPO 设置 应 用 于 某 些 计 算 机 时 ， 需 要 能 够 排除 问题 ， 并 找到 解决 方案 。 本 节 会 解释 一 些 常 见 原因 ， 说 明 为 什么 
Group Policy 没有 做 它 应 该 做 的 事情 。 

首先 回顾 一 下 背景 。Group Policy 依赖 于 Active Directory 复制 。 对 于 Group Policy 模板 (SYSVOL 中 的 文件 )， 
复制 由 DFS-R 处 理 (在 旧 环 境 或 未 配置 DFS-R 的 环境 中 由 FRS 处 理 )。 对 于 Group Policy 容器 配置 ， 复 制 由 标准 的 
Active Directory 复制 技术 来 处 理 。 因 此 ,可 使 用 内 置 工具 (如 Repadmin.exe) 来 解决 复制 问题 ,例如 ,可 以 运行 Repadmin 
/ShowRepl 命令 来 得 看 复制 状态 。 

接 下 来 ， 看 看 什么 时 候 处 理 Group Policy。 默 认 情 况 下 ， 成 员 服 务 器 和 客户 机 在 局 动 、 用 户 登 录 或 通过 命令 (如 
GPUpdate) 刷 新 策略 时 应 用 Group Policy。 每 90 分 钟 在 成 员 服 务 器 和 客户 机 上 刷新 一 次 Group Policy( 尽 管 有 至 多 30 分 钟 
的 随机 偶 移 量 )。 因 此 ， 从 上 次 刷新 开始 ， 最 多 120 分 钟 刷 新 一 次 。 域 控制 器 稍 有 不 同 。 虽 然 它 们 也 在 与 成 员 服 务 
器 和 客户 机 相同 的 情况 下 应 用 GPO， 但 它们 每 5 分 钟 刷新 一 次 GPO( 没 有 随机 偏 移 量 )。 

现在 分 析 一 些 最 常见 的 原因 ， 解 释 为 什么 名 为 GPO1 的 GPO 没有 做 它 应 该 做 的 事情 : 

禁用 GPO 设置 。 每 个 GPO 都 有 两 组 设置 : 基于 用 户 的 设置 和 基于 计算 机 的 设置 。 默认 情况 下 ， 所 有 设置 都 是 
局 用 的 (因此 是 适用 的 )。 但 可 以 禁用 基于 用 户 的 设置 或 基于 计算 机 的 设置 (或 有 所 有 设置 )。 当 禁用 设置 时 ， 它 们 就 不 
适用 。 在 排除 故障 时 ， 要 检查 是 否 禁 用 了 设置 。 

男 一 个 GPO 的 设置 优先 于 GPO1 中 的 设置 。 最 后 一 个 GPO 应 用 的 设置 优先 于 以 前 应 用 的 GPO 设置 。 因 此 ， 
当 多 个 GPO 应 用 相同 的 设置 时 ， 最 后 一 个 GPO 将 “获胜 ” 应 用 GPO 的 因素 有 两 个 。 第 一 个 因素 是 处 理 顺序 。 首 
先 使 用 本 地 GPO， 其 次 是 链接 到 站 点 级 别 的 GPO， 其 三 是 链接 到 域 级 别 的 GPO， 其 四 是 链接 到 OU 级 别 的 GPO， 
最 后 的 GPO 链接 到 子 OU 级 别 。 记 住 这 一 点 的 一 个 简单 方法 是 ， 链 接 级 别 越 低 ， 处 理 顺 序 就 越 徘 后 。 痛 字母 典 略 
词 LSDOU 涵 产 了 Local、Site、Domain, OU。 这 个 首 字 母 缩 略 词 没 有 考虑 子 OU, 但 它 是 一 个 很 好 的 记忆 辅助 工具 。 
第 二 个 因素 是 链接 顺序 。 当 多 个 GPO 链接 到 同一 个 OU 时 ， 使 用 链接 顺序 来 确定 GPO 应 用 的 顺序 。 最 低 链接 顺序 
是 最 后 应 用 的 ， 因 此 “获胜 ”。 例 如， 链接 顺序 为 1 的 GPO 在 链接 顺序 为 2 的 GPO 之 后 应 用 。 

安全 过 滤 不 包 插 目标 用 户 或 计算 机 。 默 认 情 况 下 ，GPO 的 安全 过 滤器 有 Authenticated Users 组 。 这 包括 所 有 用 
户 和 所 有 计算 机 。 但 管理 员 通 常会 删除 Authenticated Users 组 ， 使 用 其 他 组 来 缩小 GPO 的 范围 。 在 排除 故障 时 ， 检 
得 安全 过 滤 ， 并 将 其 与 用 户 或 计算 机 组 成 员 身 份 进行 比较 ， 以 确定 安全 过 滤 配 置 是 人 否 正 确 。 

有 一 些 内 置 的 工具 可 帮助 跟踪 Group Policy 问题 。 应 该 从 Group Policy Operational 事件 日 志 开 始 。 它 有 一 个 日 
志 ， 详 细 地 记录 了 本 地 计算 机 的 Group Policy 活动 。 图 9.13 显示 了 日 志 中 的 一 个 条 目 。 注 意 同时 捕获 的 事件 数量 。 
这 便于 我 们 了 解 在 Group Policy 处 理 期 间 捕 获 的 详细 级 别 。 
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图 9.13 日 志 中 的 条 目 


在 Group Policy 管理 控制 台中 ， 可 使 用 Group Policy Results Wizard， 基 于 当前 的 Group Policy 配置 ， 来 评估 用 
户 或 计算 机 的 设置 。 可 为 本 地 用 户 、 本 地 计算 机 、 远 程 用 户 或 远程 计算 机 运行 它 。 它 显示 GPO 的 设置 和 详细 信息 。 
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Group Policy 管理 控制 台中 还 有 一 个 名 为 Group Policy Modeling Wizard 的 工具 。 它 允许 模拟 GPO 部 署 ， 而 不 必 
部 普 GPO。 这 个 工具 显示 ， 如 果 将 GPO 部 前 在 环境 中 ， 用 尸 或 计算 机 应 使 用 哪些 设置 。 它 评估 慢 链 路 处 理 、 环 回 
处 理 、 组 成 员 关 系 和 WMI 过 小 右 。 

在 命令 行 上 可 使 用 GPResult.exe 为 用 尸 或 计算 机 (本 地 或 远程 ) 显 示 策 略 信息 的 结果 集 (RSoP)。 例 如 ， 可 运行 
GPResult /tr /z 命令 ， 查 看 本 地 计算 机 上 登录 用 户 的 详细 RSoP 信息 。 为 便于 搜索 信息 ， 可 将 输出 导入 文本 文件 (例如 
GPResult /rT /z >output.txt)。 在 文本 文件 中 有 了 输出 后 ,可 在 其 中 搜索 关键 字 , 例如 fail、error、denied 或 类 似 的 术语 。 

最 后 来 看 在 研究 Group Policy 问题 时 的 高 级 故障 排除 步 又 : 

令 ” 查 明 是 否 应 用 了 GPO。 可 使 用 事件 日 志 来 查找 ， 也 可 使 用 GPResult 工具 。 

令 ” 找 出 是 否 应 用 了 GPO 设置。 可 获得 RSoP 信息 ， 以 查看 是 否 应 用 了 设置 。 使 用 GPResult 工具 或 GPMC 中 

的 Group Policy Results 功能 ， 检 查 应 用 的 设置 。 

令 ”如 果 没 有 应 用 GPO( 因 此 没有 应 用 设置 ), 则 查看 配置 问题 是 否 阻 碍 应 用 程序 。 检查 安全 过 滤器 和 WMI 器 ， 

查找 禁用 的 设置 或 空 的 GPO， 并 确保 GPO 链接 到 正确 位 置 )。 

争 ”如 果 没 有 应 用 GPO,， 但 GPO 的 配置 是 正确 的 ， 就 查看 后 疹 。Active Directory 复制 健康 吗 ? 最 近 的 GPO 

变更 完成 复制 了 吗 ? 目标 计算 机 能 与 域 控制 器 通信 吗 ? 尝试 使 用 GPUpdate/Force 或 Invoke-GPUpdate 来 强 
制 刷 新 Group Policy。 


9.6 “本章 要 品 


设计 Active Directory 森林 和 域 。 在 许多 组 织 中 ， 管 理 员 过 快 地 进入 项 目的 实现 阶段 。 通 常情 况 下 ， 他 们 会 在 
设计 之 前 先 实 现 ， 想 要 在 实现 过 程 中 进行 调整 (或 “ 稍 后 进行 调整 ”)。 但 其 实 根 本 没有 调整 ， 组 织 只 剩 下 实现 。 它 
可 能 不 能 满足 业务 需求 ， 或 者 不 能 充分 满足 需求 。 
Active Directory 设计 应 该 反映 组 织 的 需求 。 例 如 ， 如 果 分 文 机 构 的 性 能 要 求 高 ， 应 该 考虑 在 分 文 机 构 中 放置 域 
控制 器 。 如 果 组 织 要 求 站 点 具有 高 可 用 性 ， 应 该 在 每 个 站 点 中 放置 多 个 域 控制 如 。 
问题 公司 最 近 收 购 了 另 一 家 公司 。 每 个 公司 都 有 自己 的 Active Directory 环境 。 长 期 计划 是 把 它们 迁移 到 
单个 Active Directory 森林 和 域 。 但 在 短期 内 , 管理 团队 要 求 使 环境 尽 可 能 无 颖 地 协同 工作 。 对 于 这 个 场景 ， 
应 该 考虑 哪个 Active Directory 特性 ? 
答案 在 合并 或 收购 场景 中 ， 应 该 考虑 使 用 Active Directory 信任 机 制 连接 森林 和 /或 域 。 通 常 ， 信 任 
是 临时 性 解决 方案 ， 公 司 会 最 终 确定 IT 基础 设施 的 长 期 策略 。 在 这 个 场景 中 ， 双 同 森 林 信 任 提 供 了 
最 佳 解决 方案 。 
设计 组 织 单 元 (OU) 结 构 。 我 们 继承 了 公司 的 Active Directory 实现 。 但 发 现 有 成 千 上 万 个 OU。 许多 都 是 空 的 ， 
似乎 没有 用 过 。 多 个 命名 约定 和 几 个 包含 对 象 的 OU 子 结构 似乎 正在 使 用 中 ,请 记 住 以 下 有 关 OU 管理 的 恨 好 做 法 : 
令 ”为 OU 使 用 一 个 命名 约定 ， 简 化 管理 。 
令 ”为 每 个 OU 添加 描述 ， 说 明 GPO 的 用 法 。 
令 ”保护 OU 免 于 意外 删除 。 
问题 ”决定 重新 设计 公司 的 OU 结构 。 对 于 每 个 OU， 需 要 决定 是 保留 它 还 是 删除 它 。 哪 些 因素 用 于 决定 
是 保留 OU 还 是 删除 它 ? 
答案 OU 设计 包含 许多 因素 。 有 些 因素 是 公司 特有 的 。 其 他 因素 基于 IT 管理 员 认 定 的 良好 实践 。 在 这 种 
情况 下 ， 在 决定 是 保留 还 是 删除 OU 时 ， 应 该 考虑 以 下 因素 : 
* OU 是 空 的 吗 ? 如 果 是 ， 那 么 它 很 可 能 会 被 删除 。 
* OU 包含 有 限 数 量 的 对 象 ? 例如 ， 有 一 个 计算 机 对 象 还 是 有 三 个 组 对 象 ? 如 果 是 这 样 ， 那 么 OU 很 可 能 
会 被 删除 。 一 定 要 先 把 对 象 移 到 别处 ! 
* GPO 链接 到 OU 吗 ? 如果 是 ， 那 么 在 删除 之 前 需要 进行 额外 调查 。 考 虑 将 与 GPO 链接 的 OU 放 在 长 期 
清单 上 ， 做 进一步 调查 。 
4 应 用 程序 通过 DN 引用 OU 吗 ? 如 果 是 ， 就 需要 进行 额外 调查 ， 可 能 需要 安排 删除 或 移动 OU。 

实现 Group Policy 和 故障 排除 。Group Policy 是 一 个 庞大 而 复杂 的 技术 。 然 而 ， 实 现 它 不 一 定 很 复杂 。 应 该 努 
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个 满足 公司 需求 的 简单 Group Policy 环境 。 给 Group Policy 运用 以 下 的 最 佳 实践 : 

使 用 命名 约定 ， 人 允许 其 他 管理 员 了 解 GPO 的 主要 用 途 。 

添加 GPO 的 描述 ， 详 细 说 明 GPO 的 用 法 。 

在 可 能 的 情况 下 减少 使 用 WMI 过 滤器 。 

使 用 安全 过 滤 限 制 GPO 的 范围 。 

减少 使 用 继承 阻塞 和 GPO 强制 执行 。 

问题 我 们 要 解决 一 个 GPO 问题 。 现 有 的 OU 结构 有 一 个 Contoso-Users OU。 它 的 下 和 面 有 五 个 子 OU。 其 
中 一 个 子 OU 名 叫 Sales。 名 为 User Configuration 的 GPO 配置 用 户 设 置 ， 并 链接 到 Contoso-Users OU。 然 
而 ， 销 售 用 户 报 告 说 ，GPO 破坏 了 关键 功能 ， 因 为 它们 经 和 常 与 公司 网 络 断 开 连 接 。 这 就 需要 确保 GPO 不 
应 用 于 Sales OU。 实 现 这 个 目标 的 两 种 方法 是 什么 ? 

谷 案 

在 这 个 场景 中 ， 有 两 个 主要 选项 : 

* 在 SalesOU 上 阻塞 继承 。 如 果 在 Sales OU 上 阻止 继承 ，Sales OU 就 不 会 继承 User Configuration GPO。 
虽然 这 解决 了 问题 ， 但 可 能 产生 其 他 问题 。 例 如 ， 如 果 其 他 GPO 连接 到 Contoso-Users OU， 这 些 GPO 也 
会 被 阻塞 。 

* 了 可 以 使 用 GPO 安全 过 滤 。 默 认 情 况 下 ， 所 有 GPO 都 对 Authenticated Users 进行 安全 过 滤 ， 所 以 所 
有 用 户 和 计算 机 都 可 以 读 取 和 应 用 GPO 设置 。 在 这 个 场景 中 ， 可 以 创建 一 个 新 的 安全 组 ， 名 为 All 
Contoso Except Sales。 将 除 Sales 用 户 之 外 的 所 有 用 户 添 加 到 组 中 。 然 后 为 All Contoso Except Sales 
组 配置 GPO 安全 过 滤 。 这 确保 Sales 用 户 不 会 受到 GPO 的 影响 。 这 解决 了 问题 ， 但 也 给 环境 带 来 一 
些 管 理 开 销 。 例 如 ， 如 何 维护 组 成 员 关 系 ? 可 以 手动 执行 操作 ， 也 可 以 使 用 目 动 化 操作 ， 但 两 者 都 会 
额外 增加 管理 开销 。 
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AD CS 是 一 种 在 网 络 中 管理 证 书 的 公 钥 基础 设施 (PKD 解 决 方案 。 微 软 通 过 Windows Server 的 许多 主要 版 本 增 
强 和 扩展 了 AD CS。 最 近 一 次 主要 的 更 新 在 Windows Server 2012 R2 中 进行 ， 而 在 Windows Server 2016 中 只 做 了 
少量 增强 。 本 章 将 讨论 Active Directory 认证 服务 ， 因 为 它 存 在 于 Windows Server 2016 中 。 与 Active Directory 域 服 
务 一 样 ，Active Directory 认证 服务 也 是 一 个 庞大 的 主题 ， 需 要 一 整 本 书 的 篇 幅 。 我 们 将 关注 大 多 数 管理 员 在 规划 和 
实现 AD CS 时 必须 处 理 的 最 相关 的 内 容 。 这 意味 看 本 章 将 不 话 细 介绍 一 些 主题 ， 以 便 集 中 讨论 最 重要 的 内 容 。 


章 内 容 : 


理解 AD CS 在 Windows Server 2016 中 的 新 特性 
理解 公 钥 基础 设施 和 AD CS 

设计 的 规划 

实现 一 个 两 层 的 层次 结构 

使 用 认证 模板 

了 解 目 动 化 环境 的 优点 


10.1 AD CS 在 Windows Server 2016 中 的 新 特性 


大 多 数 新 版 本 的 Windows Server 为 AD CS 引入 了 新 功能 。 我 们 应 该 熟悉 这 些 特性 ， 特 别 是 当 它 们 帮助 解决 环 
卉 中 的 挑战 时 。 尽管 以 下 列表 并 不 全 面 , 但 涵盖 了 Windows Server 2012、 Windows Server 2012 R2 和 Windows Server 
2016 中 AD CS 的 主要 更 改 。 在 Windows Server 2016 中 ，AD CS 通过 bug 修复 和 一 些小 的 改进 有 了 一 些 增强 ， 引 入 
了 以 下 新 功能 和 变化 : 

网 络 设 备注 册 服 务 支 持 密 钥 认证 注册 的 实施 : 网 络 设备 可 以 利用 这 个 功能 ， 而 在 过 去 ， 只 有 证 书 颁 发 机 构 (CA) 
可 以 利用 它 。 

密 钥 认证 的 改进 : Windows Server 2016 允许 客户 站 在 已 经 支持 的 可 信和 平台 模块 (Trusted Platform Module，TPMD) 
中 生成 密 钥 对 , 或 者 使 用 智能 卡 密 钥 存 储 提 供 程序 。 这 提供 了 一 定 的 灵活 性 ,特别 是 对 于 没有 部 前 或 正在 使 用 TPM 
的 组 织 。 


10.1.1 Windows Server 2012 R22 


以 下 是 从 Windows Server 2012 R2 和 Windows Server 2012 以 来 新 增 的 AD CSs 功能 , 在 Windows Server 2016 中 
继续 可 用 : 

验证 证 书 的 私 钥 受 基于 硬件 的 TPM 保护 : 这 个 功能 验证 私 钥 受 TPM 保护 ， 并 确保 认证 机 构 (CA) 信 任 TPM。 

可 使 用 PowerShell 备份 和 恢复 CA 数据库 :这 个 功能 引入 了 两 个 新 的 PowerShell cmdlet。 Backup-CARoleService 
备份 CA 数据 库 ，Restore-CARoleService 恢复 CA 数据 库 。 

增强 了 对 无 线 注册 的 支持 : AD CS 增强 了 对 第 三 方 策略 模块 的 文 持 ， 来 文 持 目 珊 设 备 (BYOD) 场 景 。 这 种 情况 
下 ， 个 人 拥有 的 设备 可 从 AD CS 中 请 求证 书 ， 即 使 该 设备 没有 加 入 域 。 可 通过 在 外 围 网 络 中 部 大 Network Device 
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Enrollment Service(NDES) 服 务 器 ， 来 文 持 Internet 上 的 无 线 注 册 。 


10.1.2 Windows Server 2012 


以 下 AD CS 功能 是 从 Windows Server 2012 以 来 新 增 的 ， 在 Windows Server 2016 中 继续 可 用 : 

增强 的 PowerShell 支持 : 在 Windows Server 2012 之 前 用 PowerShell 管理 AD CS 是 比较 困难 的 ， 因 为 没有 用 
于 AD CS 的 PowerShell 模块 。 在 Windows Server 2012 中 ， 微 软 为 AD CS 引入 J 了 了 部署 和 管理 cmdlet。 

对 Version 4 证 书 模 板 的 支持 : Version 4 模板 适用 于 Windows 8 和 以 后 的 Windows 客户 端 操 作 系 统 ， 以 及 
Windows Server 2012 和 以 后 的 Windows Server 操作 系统 .使 用 Version 4 模板 ,可 以 指定 支持 的 最 低 操作 系统 版 本 (如 
Windows Server 2012 R2)， 可 以 要 求 进行 一 个 认证 更 新 ， 来 使 用 相同 的 密 钥 。 还 有 对 加 密 服务 提供 程序 和 密 钥 服务 
提供 程序 的 文 持 。 

AD DS 站 操 识 别 : 虽然 这 个 新 功能 在 默认 情况 下 没有 局 用 ， 但 可 以 局 用 它 ， 以 便 客 户 机 在 Active Directory 中 
得 询 带 有 CA 的 最 近 站 点 ， 这 可 以 提高 性 能 ， 比 如 基于 模板 的 证 书 注册 。 

使 用 Group Protection 保护 PFX 文件 : 在 Windows Server 2012 之 前 ，Windows Server 只 对 PFX 文件 提供 密码 
保护 。 在 Windows Server 2012 中 ， 可 选择 指定 Active Directory 组 (甚至 用 户 ) 而 不 是 密码 。 这 确保 只 有 组 成 员 ( 或 直 
接 指 定 的 用 户 ) 才 能 使 用 PFX 文件 。 


10.2 ” 公 避 基础 设施 和 AD CS 的 介绍 


如 果 这 是 第 一 次 部 垩 或 党 理 公 钥 基础 设施 (PKD， 就 应 该 开始 检查 密码 学 (PKI 的 基础 )。 在 较 高 级 别 上 理解 密码 
学 ， 可 以 更 好 地 实现 和 维护 功能 民 好 的 PKI。 

在 研究 PKI 的 一 些 组 件 前 ， 先 回顾 一 下 部 站 PKI 的 主要 原因 。 以 下 是 一 些 最 
完整 ); 

使 用 HTTPS 保护 内 部 网 站 (过 理 网 站 、 内 部 网 网 站 ): 为 保护 网 站 ， 需 要 加 Web 服务 器 颁发 证 书 。 

为 Active Directory 域 控 制 颖 提供 安全 通信 (LDAP): 默认 情况 下 ， 轻 量 级 目录 访问 协议 (Lightweight Directory 
Access Protocol，LDAP) 通 信 在 问 口 389 上 未 加 密 。 通 过 回 域 控制 器 颁发 证 书 ， 应 用 程序 可 通过 疹 口 636 上 的 加 密 
连接 与 域 控制 器 通信 。 

向 用 户 颁 发 证 书 : 用 户 可 使 用 证 书 加 密 电 子 邮件 (如 S/MIME), 使 用 加 密 文件 系统 (Encrypting File System，EFS) 
保护 数据 ， 或 使 用 身份 验证 因子 (有 时 作为 多 因 系 身份 验证 的 第 二 个 身份 验证 因子 )。 

Active Directory 认证 服务 是 微软 的 PKI 解决 方案 。 它 是 一 种 功能 齐全 的 解决 方案 , 它 与 行业 标准 的 PKI 方法 相 
一 致 ， 这 种 方法 首先 在 各 种 Request for Comments(RFC) 文 档 中 描述 。 图 10.1 显示 了 AD CS 环境 的 主要 组 件 。 


常见 的 原因 (注意 ， 这 个 列表 并 不 


三 | 
中 间 CA 加 PKI | 策略 和 过 程 
| 
| 、\ 
撕 发 CA _ -一 一 一 一 模板 


到 10.1 ADCS 的 主要 组 件 


主要 组 件 如 下 : 
根 CA: 根 CA 是 PKI 中 最 高 的 CA。 它 是 PKI 的 基础 ， 因 为 它 同 PKI 中 的 其 他 CA 颁发 证 书 。 根 CA 的 证 书 
是 目 己 颁发 的 。 在 小 型 环境 中 ， 单 个 CA 执行 所 有 CA 和 角色， 尽 绾 这 样 的 设计 并 不 遵循 PKI 的 最 佳 实践 。 在 高 度 安 
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全 的 环境 中 ， 根 CA 通常 是 脱 机 CA， 联 机 仅 用 于 维护 。 这 提高 了 PKI 的 安全 性 。 
中 间 CA: 中 间 CA， 有 时 称 为 从 属 CA， 是 从 属于 另 一 个 CA( 通 常 是 根 CA) 的 CA。 它 的 工作 是 向 其 他 CA 颁 
发 证 书 (通常 是 颁发 CA)。 中 间 CA 是 可 选 的 CA。 一 些 组 织 选择 有 一 个 根 CA， 并 颁发 CA， 而 没有 中 间 CA。 
颁发 CA: 颁发 CA 是 签发 证 书 的 CA。 颁 发 的 CA 通常 从 属于 中 间 CA 或 根 CA， 这 取决 于 PKI 是 两 层 还 是 三 
层 层 次 结构 。 
证 书 : 证 书 是 一 个 数字 签名 的 文件 ， 包 含 关 于 用 户 、 计 算 机 或 设备 的 标识 信息 ， 以 及 关于 签发 PKI 的 信息 。 
策略 和 过 程 : 作为 PKI 的 一 部 分 ， 策略 和 过 程 在 几 个 文档 中 定义 。 安 全 策略 定义 组 织 的 安全 标准 ， 认 证 策略 概 
述 组 织 将 如 何 验证 证 书 的 主题 和 证 书 的 用 法 ， 认 证 实践 声明 是 一 个 公共 文档 ， 列 出 了 PKI 是 如 何 管 理 和 操作 的 。 
模板 : 证 书 模板 用 于 预先 定义 证 书 配置 项 (例如 ， 有 效 期 、 最 小 密 钥 长 度 和 密 钥 使 用 情况 )。 然 后 ， 当 使 用 模板 
请 求 新 证 书 时 ， 请 求 者 不 必 指 定 预定 义 的 信息 。 模 板 可 以 帮助 维护 安全 标准 ， 执 行 特定 的 证 书 配置 ， 简 化 请 求证 书 
除了 主要 组 件 外 ， 还 需要 熟悉 Active Directory 认证 服务 中 的 六 个 角色 服务 ， 如 图 10.2 所 示 。 


《os 认证 机 构 网 上 登记 
证 书 注册 策略 Web 服 务 ——— PKI -———— 网 络 设 备 登 记 服 务 
| | 
1 | 


图 10.2 AD Cs 角色 服务 


认证 机 构 


| 
| 
| 
| 


AD CS 角色 服务 如 下 : 

认证 机 构 : 认证 机 构 是 PKI 中 的 主要 角色 服务 。 在 菜 些 环境 中 ， 它 是 唯一 的 PKI 角色 服务 。 根 CA 和 中 间 CA 
运行 这 个 角色 服务 ， 回 用 户 和 设备 颁发 证 书 。 

证 书 注册 策略 Web 服务 : 证 书 注册 策略 Web 服务 占用 户 和 计算 机 提供 证 书 注册 策略 信息 。 它 通常 与 证 书 注册 
Web 服务 相 结合 ， 使 用 户 和 计算 机 能 够 通过 Web 浏览 器 获得 证 书 。 

和 证书 注册 Web 服务 : 证 书 注 册 Web 服务 允许 用 户 和 计算 机 通过 Web 浏览 器 获得 证 书 。 当 计算 机 不 是 Active 
Directory 域 的 一 部 分 时 ， 这 很 有 用 。 将 此 角色 服务 与 证 书 注 册 策 略 Web 服务 相 结合 ， 可 为 用 户 和 计算 机 局 用 目 动 
证 书 注册 。 

认证 机 构 网 上 登记 : 该 角色 服务 为 用 户 提供 基于 Web 的 方法 来 请 求证 书 。 如 果 没 有 它 , 用户 可 以 使 用 证 书 MMC 
或 命令 行 工 具 来 请 求证 书 。 

网 络 设备 登记 服务 : 网 络 设备 登记 服务 (Network Device Enrollment Service，NDES) 人 允许 路 由 器 、 交 换 机 和 其 他 
网 络 设 备 获 得 证 书 ， 即 使 没有 关联 的 用 户 账 尸 ， 也 是 如 此 。 

网 上 应 管 颖 : 该 角色 服务 负 员 回 请 求 者 ( 通 沼 是 计算 机 ) 提 供 证 书 撤销 信息 。 


10.3 ”规划 及 设计 考虑 


在 开始 安 逆 和 配置 任何 技术 之 前 , 最 好 先 完成 预 实 现任 务 。 例如, 希望 从 业务 中 收集 需求 。 应 该 收集 技术 需求 ， 
以 确保 实现 方案 满足 安全 性 和 体系 结构 需求 。 应 该 了 解 组 织 的 业务 连续 性 以 及 灾难 恢复 需求 和 能 力 。 虽 然 本 章 没 有 
时 间 深 入 讨论 这 些 主题 ， 只 是 挑选 一 些 与 实现 AD CS 直接 相关 的 主题 ， 但 这 并 不 意味 着 应 该 回避 其 他 话题 ， 只 是 
本 章 不 讨论 它们 。 考 虑 下 面 的 问题 ， 看 看 如 何 回答 它们 。 

令 ”需要 概述 PKI 安全 性 和 配置 的 文档 吗 ? 

令 ”需要 证 书 策略 和 证 书 实践 声明 (Certificate Practice Statement，CPS) 吗 ? 

令 ”需要 多 少 层 ? 
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令 ” 谁 来 官 理 环境 ? 

令 ”使 用 什么 技术 来 集成 证 书 ? 
令 ”需要 多 少 台 服务 器 ? 

令 ”应 该 将 PKI 服务 器 放 在 哪里 ? 


1. 是 否 需 要 PKI 的 安全 性 和 配置 的 概述 文档 

是 的 ， 需 要 ! 尽管 答案 很 明显 ， 但 许多 组 织 选择 不 使 用 文档 ， 这 是 很 遗憾 的 。 在 中 型 和 大 型 组 织 中 ， 通 常 有 现 
成 的 安全 策略 。 因 此 ， 在 部 署 PKI 时 ,通常 可 以 使 用 这 些 策略 作为 文档 的 起 点 。 有 时 ， 可 能 需要 修改 策略 ， 以 覆 六 
PKI。 小 型 组 织 可 能 没有 现 有 的 安全 策略 ， 也 没有 时 间或 人 员 来 创建 它们 。 至 少 考 虑 草拟 一 份 基本 的 安全 策略 ， 概 
述 PKI 的 目标 ， 例 如 : 

令 ”实现 PKI 的 原因 

令 ”打算 使 用 PKI 保护 什么 技术 

令 ”计划 如 何在 较 高 层次 上 保护 PKI 

令 ”打算 如 何 处 理 私 钥 ( 无 论 是 备份 /归档 或 支持 导出 ) 

尽管 许多 技术 可 以 在 部 署 后 进行 文档 记录 (在 最 糟 的 情况 下 )， 但 是 应 该 尽量 避免 在 PKI 中 这 样 做 。PKI 是 关键 
的 安全 技术 之 一 ， 许 多 情况 下 ， 它 保护 整个 计算 环境 。 因此， 计划 、 测 试 、 文 档 和 实现 对 网 络 安全 性 至 关 重 要 。 


2. 是 否 需 要 证 书 来 略 和 证 书 实践 声明 (CSP) 

证 书 策略 和 CSP(Certificate Practice Statement， 证 书 实践 声明 ) 在 小 型 组 织 中 并 不 常见 ， 但 是 即使 在 小 型 环境 中 
工作 ， 也 应 该 考虑 它们 ， 在 中 型 和 大 型 环境 中 ， 考 虑 强制 执行 证 书 策略 和 CSP， 才 能 有 效 地 满足 组 织 的 需求 (在 菏 
些 场 景 中 ， 是 客户 的 需求 )， 并 最 大 化 安全 性 。 下 面 定 义 这 些 概 念 : 

证 书 策略 : 证 书 策略 指示 组 织 如 何 处 理 证 书 分 配 的 关键 方面 ， 例 如 请 求 者 的 身份 、 证 书 的 使 用 和 私 钥 的 存储 。 
在 许多 环境 中 , 证 书 策略 所 涵盖 的 范围 不 止 这 些 领 域 。 其 目标 是 为 客户 (无 论 是 内 部 的 还 是 外 部 的 ) 提 供 足 够 的 信息 ， 
让 他 们 知道 是 否 使 用 PKI 及 其 已 颁发 的 证 书 。 

证 书 实践 声明 (CSP); CSP 记录 PKI 的 安全 配置 。 例 如 ， 它 通常 概述 了 组 织 的 实践 是 如 何 看 待 证 书 撤销 的 ， 以 
及 组 织 如 何 处 理 PKI 的 审计 。RFC 2527 的 标题 为 “Internet X.$09 公 钥 基础 设施 证 书 策 略 和 证 书 实践 框架 ” 详细 介 
绍 了 如 何 构建 CSP 和 证 书 策略 。 更 多 细节 请 访问 https://wwwi.ietf.org/rfe/rfe2527.txt。CSP 通常 是 公开 可 用 的 ， 因 此 
其 他 组 织 可 以 确定 PKI 是 否 满足 他 们 的 安全 要 求 ( 记 住 这 一 点 ， 避 免 敏感 信息 进入 文档 )。 在 大 型 组 织 中 ， 其 他 分 支 
机 构 或 部 门 也 可 以 审查 CSP， 以 确保 它 满足 他 们 的 个 人 需求 。 对 于 加 公众 销售 证 书 业 务 的 组 织 来 说 ，CSP 非常 重要 ， 
必须 非常 详细 。 例 如 ， 可 从 https://www.thawte.com/cps/ 上 查看 Thawte 的 CPS。 

一 般 来 说 ， 证 书 策略 更 短 ， 更 简略 。CSP 通 弟 是 一 个 非 瘦 长 的 、 精 确 的 文档 ， 它 涉及 组 织 围绕 证 书 分 发 和 安全 
性 的 操作 细节 。 


3. 需要 多 少 层 
作为 规划 和 人 设计 的 一 部 分 ， 需 要 弄 清 楚 PKI 中 需要 多 少 层 。 一 层 表 示 PKI 的 一 个 级 别 。 例 如 ， 在 图 10.3 中 ， 
有 三 层 : 一 层 有 根 CA， 一 层 有 中 间 ( 从 属 )JCA， 一 层 有 颁发 CA。 


图 


图 10.3 PKI 层 
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下 面 看 看 可 用 的 层 ， 以 及 它们 在 PKI 部 署 中 通常 是 如 何 使 用 的 : 

单 层 层次 结构 : 单 层 层次 结构 通常 出 现在 小 型 组 织 中 。 例 如 ,假定 一 家 律师 事务 所 有 50 个 律师 和 150 个 支持 
人 员 。 在 这 样 一 个 环境 中 ， 可 能 只 有 一 个 IT 人 员 ， 这 个 人 必须 部 署 和 管理 一 切 ! 需要 易于 部 羞 和 易于 维护 的 PKI。 
单 层 层次 结构 可 能 是 最 好 的 选择 。 它 由 一 个 颁发 证 书 的 企业 CA 组 成 。 这 是 一 个 单一 的 失败 点 ， 但 在 小 型 组 织 中 ， 
这 是 可 以 接受 的 。 

双 层 层次 结构 : 双 层 层次 结构 是 许多 中 型 和 大 型 组 织 中 和 帝 见 的 部 普 方 式 。 它 代表 了 最 小 和 最 简单 的 PKI 层次 结 
构 ， 提 供 了 安全 性 和 可 用 性 的 额外 层次 ， 这 是 许多 组 织 结构 都 需要 的 ， 但 是 没有 三 层 或 四 层 层 次 结构 的 复杂 性 和 开 
销 。 双 层 层次 结构 通 贡 包括 一 个 离线 的 根 CA 和 一 个 或 多 个 颁发 CA。 本 和 章 的 后 面 将 逐步 演示 双 层 层次 结构 的 部 半 。 
双 层 层次 结构 允许 为 组 织 提供 高 度 可 用 的 PKI。 这 一 点 ， 以 及 离线 根 CA 的 附加 安全 性 ， 将 双 层 层次 结构 与 单 层 层 
次 结构 区 分 开 来 。 

三 层 层次 结构 : 三 层 层次 结构 提供 了 双 层 层次 结构 的 功能 ， 并 提供 了 额外 的 安全 性 和 灵活 性 。 它 不 是 把 颁发 
CA 作为 第 二 层 ， 而 是 把 策略 CA 作为 第 二 层 。 这 就 允许 定义 不 同 的 策略 和 不 同 的 CSP。 例 如 ， 假 定 有 一 个 针对 北 
美的 策略 和 CPS， 以 及 一 个 针对 欧洲 的 不 同 策略 和 CPS。 在 三 层 层 次 结构 中 ， 通 常 有 离线 的 根 CA 和 离线 的 策略 
CA。 这 将 进一步 保护 PKI 免 受 基 于 网 络 的 攻击 。 

四 层 层次 结构 : 四 层 层次 结构 是 最 少见 的 PKI 层次 结构 。 这 是 因为 每 添加 一 个 层 ， 都 会 增加 复杂 性 和 开销 ， 而 
许多 组 织 更 哮 欢 尽量 降低 复杂 性 和 开销 。 在 四 层 层次 结构 中 ， 第 三 层 和 第 四 层 用 于 颁发 CA。 多 个 层 拥 有 颁发 CA， 
可 以 更 好 地 控制 哪些 CA 给 用 户 组 或 计算 机 组 颁发 证 书 。 在 需要 高 度 安全 的 复杂 组 织 中 ， 如 政府 分 支 机 构 或 跨国 企 
业 集 团 ， 可 能 需要 这 样 做 。 

那么 需要 多 少 层 呢 ? 需要 尽 可 能 少 的 资源 来 满足 组 织 的 安全 和 操作 需求 (以 及 PKI 需求 )。 建 议 从 两 层 开 始 ， 并 
得 看 特征 ， 看 它 是 否 满足 组 织 的 需求 。 如 采 不 满 牛 ， 驶 选择 三 层 。 必 须 经 过 仔细 检查 ， 才 能 选择 4 层 。 只 有 管理 的 
环境 很 小 ， 能 够 接受 CA 被 损害 的 风险 ， 能 够 接受 潜在 的 计划 外 停机 ， 才 能 选择 单 层 。 


4. 谁 来 管理 环境 

当 考 虑 谁 管理 PKI 时 ， 需 要 考虑 两 个 因素 。 首 先 ， 哪 个 团队 将 拥有 它 一 一 信息 安全 团队 、 服 务 器 管理 团队 还 是 
另 一 个 团队 ? 其 次 ， 在 复杂 的 PKI 中 ， 通 常会 有 多 个 团队 来 管理 它 ( 通 常 是 它 的 不 同 部 分 )。 在 大 型 组 织 中 ，PKI 通 
常 由 信息 安全 团队 拥有 ， 而 PKI 由 服务 器 管理 团队 操作 。 作 为 初始 文档 的 一 部 分 ， 需 要 遍历 所 有 管理 场景 ， 以 确定 
谁 拥有 什么 。 


5. 使 用 哪些 技术 与 证 书 集成 

部 普 PKI 的 想法 通常 始 于 应 用 程序 团队 (或 IT 中 的 为 一 个 团队 ) 需 要 为 其 应 用 程序 或 服务 提供 证 书 , 也 许 组 织 一 
直 痢 在 使 用 第 三 方 证 书 。 例 如 ， 在 局 域 网 中 ， 购 买 了 用 于 省 理 服务 的 第 三 方 证 书 。 这 可 能 会 很 郧 叶 ， 而 且 获 取 第 三 
方 证 书 有 时 是 一 个 缓慢 的 过 程 。 然 而 ， 许 多 第 三 方 证 书 提供 商 具 有 企业 级 服务 ， 允 许 组 织 立即 请 求 和 接收 第 三 方 证 
书 。 通 币 ， 在 内 部 部 普 PKI 会 降低 成 本 和 /或 安全 性 。 与 PKI 集 成 的 一 些 最 常见 的 技术 包括 : 

电子 邮件 服务 : 发送 安全 的 电子 邮件 需要 一 个 证 书 。 局 用 电子 邮件 服务 器 之 间 的 安全 通信 需要 一 个 证 书 。 确 保 
客户 问 通 过 浏览 器 检查 电子 邮件 的 通信 安全 需要 一 个 证 书 。 因 此 ， 电 子 邮件 服务 是 一 种 使 用 PKI 的 常用 技术 手段 。 

Web 服务 : 无 论 是 拥有 内 部 网 站 点 还 是 应 用 程序 管理 站 点 ， 都 需要 使 用 证 书 来 保护 站 点 。 如 今 ， 许 多 大 型 组 
织 或 具有 安全 意识 的 组 织 在 所 有 Web 服务 上 都 使 用 HTTPS。 与 使 用 第 三 方 证 书 相 比 ，PKI 为 Web 服务 器 提供 证 书 
的 成 本 效益 更 高 。 

加 密 : 许多 加 密 技 术 都 要 求 使 用 证 书 。 例 如 ， 加 蜜 文件 系统 (EFS) 使 用 客户 器 证 书 进行 加 密 。 这 种 情况 下 ， 内 
部 PKI 几乎 总 是 最 好 的 选择 ， 因 为 需要 大 量 的 证 书 ( 当 使 用 第 三 方 证 书 时 ， 成 本 成 倍增 长 )。 

作为 最 初 的 PKI 设计 工作 的 一 部 分 ， 需 要 与 IT 团队 协作 ， 以 确保 他 们 当前 的 使 用 和 满足 未 来 的 需求 。 这 将 有 
助 于 确保 所 设计 的 PKI 能 够 满足 或 超过 组 织 的 所 有 要 求 。 


6. 需要 多 人 少 台 服务 辫 

一 旦 确定 了 PKI 中 有 多 少 层 ， 就 可 以 计算 出 需要 多 少 服务 器 。 对 于 根 CA， 需 要 一 台 服务 器 。 对 于 颁发 CA， 
应 该 部 署 两 个 或 多 个 服务 器 ， 以 提供 宛 余 和 高 可 用 性 。 在 三 层 层次 结构 中 ， 可 能 有 两 个 策略 CA 和 四 个 颁发 CA( 共 
有 7 个 服务 器 , 其 中 一 个 是 离线 的 根 CA)。 四 层 层次 结构 通常 至 少 有 8 台 服 务 器 。 使 用 更 多 服务 器 的 环境 并 不 少见 ， 
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特别 是 环境 中 有 有 限 的 虚拟 化 选项 ， 就 更 是 如 此 。 但 是 ， 有 了 强大 的 虚拟 化 环境 ， 可 以 减少 服务 器 的 总 数 ， 而 依赖 
虚拟 化 的 高 可 用 性 和 站 点 弹性 。 


7. 应 该 把 CA 放 在 哪里 

位 置 通常 是 由 组 织 决定 的 。 例 如 ， 如 果 组 织 有 两 个 数据 中 心 ， 就 可 以 将 CA 部 署 到 两 个 数据 中 心 。 如 果 有 一 个 
数据 中 心 ， 就 可 以 将 服务 器 部 署 到 该 数据 中 心 。 对 于 大 型 组 织 ， 不 会 将 CA 部 署 到 每 个 可 用 的 数据 中 心 。 例 如 ， 假 
设 一 家 公司 在 全 球 拥有 15 个 数据 中 心 , 但 可 能 只 需要 两 个 或 三 个 数据 中 心中 的 CA。 通过 维护 满足 需求 的 最 简单 设 
计 ， 可 以 最 小 化 成 本 和 开销 。 数 据 中 心 越 少 ， 通 常 意味 着 设计 越 简单 。 


10.4 ”实现 双 层 层次 结构 


本 章 的 这 一 节 将 展示 如 何 从 一 开始 就 实现 双 层 层次 结构 。 只 需要 一 个 现 有 的 Active Directory 域 、 一 个 运行 
Windows Server 2016 的 成 员 服务 器 和 一 个 运行 Windows Server 2016 的 独立 服务 器 。 对 于 这 个 过 程 ， 使 用 以 下 设置 : 
现 有 的 Active Directory 域 contoso.com 。 
计算 机 C-OFFLINE-ROOT 是 独立 服务 器 ， 用 作 离 线 的 根 CA。 
计算 机 C-PKI-01 是 企业 级 下 属 CA。 
计算 机 C-UTIL-01 是 实用 服务 器 ,承载 CRL 分 配点 (CRL Distribution Point, CDP) 和 权威 信息 访问 (Authority 
Information Access，AIA) 的 信息 。 

读者 应 该 使 用 实验 室 环境 来 跟 进 。 考 虑 使 用 现 有 的 域 (如 果 有 )， 并 相应 地 调整 步骤 。 如 果 没 有 现 有 的 域 ， 请 考 
虑 使 用 contoso.com 和 本 章 介 绍 的 配置 。 


1. 在 C-OFFLINE-ROOT 上 安装 CA 离线 根 

本 万 将 介绍 离线 根 CA 的 安装 。 在 双 层 层次 结构 中 ， 离 线 的 根 CA 代表 其 中 一 个 层 ( 第 一 层 )。 对 于 离线 的 根 CA 
来 说 ， 使 用 独立 服务 器 (不 连接 到 域 ) 是 一 个 民 好 的 、 通 用 的 实践 ， 这 是 因为 服务 器 大 多 是 关闭 的 ， 由 于 缺乏 连接 而 
有 丢失 域 成 员 资 格 的 风险 。 建 议 每 月 为 维护 任务 (如 安装 安全 更 新 ， 安 装 反 病毒 和 反 恶 意 软 件 更 新 ， 以 及 收集 日 志 ) 
局 动 一 次 离线 的 根 CA。 本 节 使 用 名 为 C-OFFLINE-ROOT 的 服务 器 。 它 是 一 台独 立 的 计算 机 ， 没 有 连接 到 域 。 在 
contoso.com 专区 手动 创建 了 一 个 DNS 条 目 , 以 便 使 用 C-OFFLINE- ROOT contoso.com 完全 限定 的 域名 引用 服务 器 。 

(1) 作为 本 地 管理 员 登 录 到 C-OFFLINE-ROOT。 

(2) 单 击 Start， 然 后 单 击 Server Manager。 

(3) 单 击 Manage， 在 下 拉 亲 单 中 单 击 Add Roles and Features。 

(4) 如 果 Before You Begin 页 面 出 现 ， 选 择 Skip This Page By Default 复 选 枉 ， 然 后 单 击 Next。 

(5) 在 Select Installation Type 页 面 上 ， 确 保 选 择 了 Role-Based or Feature-Based 安装 选项 ， 并 单 击 Next。 

(6) 在 Select Destination Server 页 面 上 , 确保 选择 了 C-OFFLINE-ROOT 并 单 击 Next。 通常 , 要 使 用 管理 服务 器 ， 
而 不 是 直接 在 目标 服务 器 上 执行 此 任务 ， 从 这 里 的 列表 中 选择 服务 器 的 名 称 。 

(7) 在 Select Server Roles 页 面 上 , 选择 Active Directory Certificate Services 复 选 框 。 当 提示 添加 Active Directory 
认证 服务 所 需 的 特性 时 ， 单 击 Add Features， 然 后 单 击 Next。 这 将 确保 在 角色 中 安装 了 所 有 需要 的 依赖 项 。 

(8) 在 Select Features 页 面 上 ， 单 击 Next。 

(9) 在 Active Directory Certificate Services 页 面 上 ， 单 击 Next。 

(10) 在 Select Role Services 页 面 上 ， 确 保 选 中 了 Certification Authority 复 选 框 ， 然 后 单 击 Next。 因 为 创建 的 是 
离线 的 根 服 务 器 ， 所 以 不 需要 任何 其 他 服务 ， 比 如 在 线 啊 应 器 或 Web 服务 。 这 些 服 务 用 于 与 客户 交流 注册 或 撤销 
细节 。 

(11) 在 Confirm Installation Selections 页 面 上 ， 选 择 Restart The Destination Server Automatically If Required 复 选 
框 ， 并 单 击 mstall。 等 待 安装 完成 。 

(12) 安装 完成 后 ， 在 Installation Progress 页 面 上 ， 单 击 目标 服务 器 上 的 Configure Active Directory Certificate 
SeIVlces。 


(13) 在 Credentials 页 面 上 ， 确 保 列 出 的 凭证 是 本 地 管理 员 组 的 成 员 ， 也 是 域 的 Enterprise Admins 组 的 成 员 。 然 
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后 单 击 Next。 

(14) 在 Role Services 页 面 上 ， 选 中 Certification Authority 复 选 框 ， 然 后 单 击 Next。 

(15) 在 Setup Type 页 面 上 ， 单 击 Standalone CA， 然 后 单 击 Next。 服 务 器 在 大 多 数 情况 下 是 离线 的 ， 没 有 连接 
到 网 络 或 没有 连接 到 Active Directory 时 ， 使 用 独立 的 CA。 企 业 CA 用 于 与 Active Directory 集成 。 

(16) 在 CA Type 页 面 上 ， 确 保 选 择 了 Root CA， 然 后 单 击 Next。 根 CA 用 作 PKI 层次 结构 的 基础 。 这 与 从 属 
CA 不 同 ， 从 属 CA 只 能 在 根 CA 下 使 用 。 

(17) 在 Private Key 页 面 上 ， 确 保 选 择 了 Create A New Private Key 选项 ， 然 后 单 击 Next。 使 用 这 个 选项 ， 因 为 
它 是 组 织 中 的 第 一 个 CA。 如 果 已 经 有 了 CA， 就 可 以 使 用 现 有 的 密 钥 。 

(18) 在 Cryptography for CA 页 面 中 ， 将 哈 希 算法 设置 为 SHA512， 将 密 钥 长 度 设 置 为 4096， 然 后 单 击 Next。 
哈 希 算法 和 密 钥 长 度 建 议 每 隔 几 年 就 改变 一 次 。 建 议 使 用 SHA512 和 长 度 为 4096 的 密 钥 ， 以 备 将 来 的 离线 根 CA 
验证 (至 少 几 年 )。 

(19) 在 CAName 页 面 上 ， 接 受 此 CA 的 公共 名 称 的 默认 值 ， 将 Distinguished Name Suffix 设置 为 DC=contoso、 
DC=com， 然 后 单 击 Next。 注 意 ， 如 果 这 个 服务 器 连接 到 域 ， 它 将 目 动 填充 域 的 专 有 名 称 后 级。 

(20) 在 Validity Period 页 面 上 ， 接 受 5 年 的 默认 有 效 期 ， 然 后 单 击 Next。 

(21) 在 CA Database 页 面 上 ， 接 受 证 书 数据 库 及 其 日 志 的 默认 位 置 ， 然 后 单 击 Next。 在 生产 环境 中 ， 最 好 使 用 
非 系 统 卷 来 存储 数据 库 和 数据 库 日 志 。 

(22) 在 Confirmation 页 面 上 ， 确 保 设置 了 需要 的 值 ， 然 后 单 击 Configure( 参 见 图 10.4)。 


让 AD C5 Configuration 


DESTINATION SERWER 
Confirmation C-OFFLINE-ROOT 


Credentials To configure the following roles, role services, or features, click Configure. 
SS (WActive Directony Certificate Services 
Setup Type 
Certification Authority 
Ch Type 
CA Type standalone Root 
Private Key Cryptographic provider: RSA#hicrosoft software Key Storage Provider 
Cryptography Hash Algorithm: SHA256 
CA Name Key Length: A096 
Allow Administrator Interaction: Disabled 
Certficate Validity Period: S22022 12:28:00 AM 
Distinguished Name: CN=C-OFFLINE-ROOT-CA DC=contoso,DC=com 
-onfirmation | Certificate Database Location: CA\Windows\system32\CertLog 
Certificate Database Log ChWindows\system32\CertLog 
Locatiom: 


validity Pericd 


certificate Databases 


10.4 AD Cs 配置 


(23) 在 Results 页 面 上 ， 等 待 配置 完成 ， 然 后 单 击 Close。 
(24) 在 Installation Progress 页 面 上 ， 单 击 Close。 
现在 ， 根 CA 就 安装 好 了 。 但 是 ， 在 准备 处 理 第 二 层 之 前 ， 需 要 执行 一 些 安装 后 的 任务 ， 以 便 为 生产 准备 根 CA。 


2. 离线 根 CA 的 C-OFFLINE-ROOT 安装 后 配置 

本 节 配 置 离 线 的 根 CA。 这 就 为 CA 开始 支持 计划 中 的 从 属 CA 做 好 了 准备 。 

(1) 在 C-OFFLINE-ROOT 中 ， 右 键 单 击 Start， 然 后 单 击 Command Prompt (Admin)。 

(2) 在 Administrator: Command Prompt 窗口 中 ， 在 HKLM\SYSTEM\CurrentControlSet\services\CertSve\Confieuratiom\ 
C-OFFLINE-ROOT-CA\ 注 册 表 密 钥 下 配置 CA 注册 表 项 ， 并 重新 启动 Active Directory Certificate Services 服务 。 在 
命令 中 ， 设 置 了 有 效 期 和 所 有 审计 选项 。 要 继续 ， 运 行 以 下 命令 : 


certutil.exe 一 Setredgd ca\DSConfigDN CN=Configuration,DC=contoso, DC=com 
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certutil.exe -setreg ca\DSDomainDN "DC=contoso, DC=com" 
certutil.exe ~—setreg ca\ValidityPeriodUnits 5 

certutil ~setreg CA\CRLPeriodUnits 2 

certutil -setreg CA\CRLPeriod "Years" 

certutil -setreg CA\AuditrFilter 127 

net stop certsvc 


net start certsvc 

(3) 在 Start 菜单 中 ， 展 开 Windows Administration Tools 文件 夹 ， 并 双击 Certification Authority。 

(4) 在 Certification Authority 控制 台中 , 右键 单 击 C-OFFLINE-ROOT-CA 节 扣 ,在 弹出 的 亲 单 中 单 击 Properties。 

(5) 在 C-OFFLINE-ROOT-CA Properties 对 话 框 中， 单 击 Extensions 选项 卡 ， 确 保 CRL Distribution Point (CDP) 
条 目 出 现在 Select extension 下 拉 列 表 中 ， 然 后 单 击 Add。 

(6) 在 Add Location 对 话 框 的 Location 文本 框 中 ， 指 定 http://c-util-01.contoso.com/certdata/<CaName> 
<CRLNameSuffix><DeltaCRLAllowed>.crl， 然 后 单 击 OK。 必 须 添 加 有 效 的 位 置 ， 确 保 客户 能 够 访问 它们 。 

(7) 在 Extensions 选项 卡 上 ， 选 择 新 添加 的 CDP 条 目 ， 单 击 mclude in the CDP extension of issued certificates 复 
选 框 。 

(8) 在 用 户 可 从 中 获得 证 书 撤销 列表 的 位 置 列表 中 ， 删 除 第 二 个 (以 ldap:/ 开 头 )、 第 三 个 (以 http://<serverdnsname> 开 
头 ) 和 第 四 个 (以 所 eV/ 开头) 和 条目， 对 于 每 个 条 目 ， 单 击 Remove， 然 后 在 提示 确认 时 单 击 Yes。 一 旦 完成 ， 列 表 应 该 只 包 
含 两 个 条 目 : 第 一 个 条 目 引 用 本 地 文件 系统 (以 C:\Windows\system32\CertSrv\CertEnroll 开始 )， 第 二 个 条 目 使 用 
HTTP( 以 http://c-util-01.contoso.com/CertData 开始 )。 如 图 10.5 所 示 。 


L-OFFLINE-ROUOT-LA Properties 


General Policy Module Exit Module 
Enrollment Agents Auditing Recovery Agents Security 
Edensions Storage Certificate Managers 


Select extension: 
'CRL Distrbution Point (CDP) 


Specify locations from which users can obtain a certificate revocation list 
RL). 


Publish CRELs to this location 


Include in all CRLs. Specities where to publish in the Active Directory 
when publishing manually. 


[_ ] nclude in CRLs. Clients use this to find Delta CRL locations. 
Include in the CDP extension of issued certificates 

Publish Delta CRLs to this location 
[| Include in the IDP extension of issued CRLs 


10.5 CDP 扩展 


(9) 在 Select extension 下 拉 列 表 中 ， 单 击 Authority Information Access (AIA) 条 目 并 单 击 Add。 

(10) 在 Add Location 对 话 框 的 Location 文本 框 中 , 指定 http://c-util-01.contoso.com/certdata/<ServerDNSName > 
<CaName><CertificateName>.crt， 然 后 单 击 OK。 

(11) 在 Extensions 选项 卡 上 ， 选 中 新 添加 的 AIA 条 目 ， 单 击 Include in the AIA extension of issued certificates 复 
选 杠 。 
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(12) 在 用 户 可 从 中 获取 此 CA 证 书 的 位 置 列表 中 , 删除 第 二 个 (以 1dap:/ 开 头 )、 第 三 个 (以 http://<ServerDNSName> 
开头 ) 和 第 四 个 (以 fle:// 开 头 ) 条 目 ( 对 于 每 个 条 目 ， 单 击 Remove， 然 后 在 提示 确认 时 单 击 Yes)。 一 旦 完成 ， 列 表 应 
该 只 包含 两 个 条 目 : 第 一 个 条 目 引 用 本 地 文件 系统 (以 C:VWindows\system32\CertSrwCertEnroll 开头 )， 第 二 个 条 目 使 
用 HITP( 以 http:Wc-util-01.contoso.comycertdata 开头 )。 如 图 10.6 所 示 。 


C-OFFLINE-ROOT-CA Properties 了 让 


General Policy Module Exit Module 
Enrollment Agents Auditing Recovery Mgents Security 
Bdensions Storage Certificate Managers 


Select extension: 
Authority Information Access (AIA) 


specify locations from which users can obtain the certificate for this CA. 


‘system32\Cert Srv\CertEnrol\<ServerDNSName> <CaName 
http/ieatil-01 contoso.com/certdata/<ServerDNSName><CaName><Cer 


忆 Include in the AIA extension of issued certificates 
L_| Include in the online certificate status protocol (OCSP) extension 


ok |[ Canee | sppy 
图 10.6 ”列表 只 包含 两 个 条 目 


(13) 单 击 OK。 当 提示 重新 启动 Active Directory Certificate Services 时 ， 单 击 Yes。 

(14) 在 Certification Authority 控制 台中 ， 展 开 C-OFFLINE-ROOTCA 节点 ， 右 键 单 击 Revoked Certificate 文件 
夹 ， 单 击 All Tasks， 然 后 单 击 Publish。 下 面 把 CRL 发 布 到 新 添加 的 位 置 。 

(15) 在 Publish CRL 对 话 框 中 ， 单 击 OK 以 发 布 一 个 新 的 CRL 。 

(16) 在 命令 提示 从 中， 运行 如 下 命令 ， 将 *.crl 和 *crt 文件 从 C:\Windows\system32\CertSrv\CertEnroll 复制 到 C 
驱动 器 的 根 目 录 下 : 

Robocopy C:\Windows\system32\CertSrv\CertEnroll C:\ *.cr? 

(17) 在 命令 提示 符 中 ， 运 行 certtm.msc 命令 ， 局 动 Certificates-Local Computer 控制 全 。 

(18) 在 Certificates-Local Computer 控 制 合 上 , 展开 Personal 文件 夹 及 其 Certificates 子 文件 夹 , 右 击 C-OFFLINE- 
ROOTCA 证 书 ， 单 击 All Tasks， 然 后 单 击 Export。 

(19) 在 Certificate Export Wizard 窗口 中 ， 在 Welcome to the Certificate Export Wizard 页 面 上 ， 单 击 Next。 

(20) 在 Export Private Key 页 面 上 ， 确 保 选 中 了 No, Do not Export the Private Key 选项 ， 然 后 单 击 Next。 

(21) 在 Export File Format 页 面 上 ， 确 保 选 择 DER Encoded Binary X.S$09 (.CERI) 选 项 ， 然 后 单 击 Next。 

(22 ) 在 File to Export 页 和 面 的 File Name 文本 框 中 ， 键 入 CAC-OFFLINE-ROOTcer， 然 后 单 击 Next。 

(23) 在 Completing the Certificate Export Wizard 页 面 上 ， 单 击 Finish， 在 通知 导出 成 功 的 对 话 框 中 单 击 OK。 

这 就 完成 了 离线 根 CA 的 后 配置 任务 。 现 在 应 配置 一 台 服 务 器 ， 以 承载 CDP。 之 后 部 着 和 配置 企业 级 的 从 属 CA。 


3. 配置 服务 尼 以 承载 CDP 

要 配置 服务 器 以 承载 CDP， 请 执行 以 下 步 又: 

(1) 作为 域 管 理 员 组 的 成 员 登 录 到 C-UTIL-01。 

(2) 在 C-UTIL-01 上 ， 启 动 一 个 管理 Windows PowerShell 控制 全 。 
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(3) 从 PowerShell 控制 侣 , 创建 一 个 名 为 CertData 的 文件 共享 ， 运行 以 下 命令 ,将 文件 来 上 的 Read and Change 
Permissions 共享 级 权限 和 Full Control 文件 系统 权限 授予 CA-PKI-01 计算 机 账户 ; 

New-Item -Path C:\CertData -ItemType Directory 

New-SMBShare -Name CertData -Path 'C:\CertData' ~ChangeAccess 'CONTOSO\C-PKI-—01s" 

GTant-SmbShareAcces3s -Name CertData -AccessRight Change -AccountName 

"Administrators"” -Force 

$acl = Get-Acl C:\CertData 

scar = New-Object System.Security.AccessControl.FileSystemAccessRulel! 

"CONTOSO\C—-PKI-01$™, “FullControl", "Allow") 

sacl.SetAccessRule (Scar) 

Set-Acl] C:\CertData S$acl 


(4) 单 击 Start， 然 后 单 击 Server Manager。 

(5) 单 击 Manage。 在 下 拉 某 单 中 ， 音 击 Add Roles And Features。 

(6) 如 果 Before You Begin 页 面 出 现 ， 选 择 Skip This Page By Default 复 选 枉 ， 然 后 单 击 Next。 

(7) 在 Select Installation Type 页 面 上 ， 确 保 选 择 了 Role-Based or Feature-Based 安装 选项 ， 并 单 击 Next。 

(8) 在 Select Destination Server 页 面 上 上， 确保 选择 了 C-UTIL-01， 并 单 击 Next。 

(9) 在 Select Server Roles 页 面 上 ， 选 择 Web Server (ITS) 复 选 框 。 当 提示 添加 Web Server(IIS) 所 需 的 特性 时 ， 单 
击 Add Features， 然 后 单 击 Next。 

(10) 在 Select Features 页 面 上 ， 单 击 Next。 

(11) 在 Web Server Role(IIS) 页 面 上 ， 单 击 Next。 

(12) 在 Select Role Services 页 面 上 ， 接 受 默认 设置 并 单 击 Next。 

(13) 在 Confirm Installation Selections 页 面 ， 选 择 The Restart The Destination Server Automatically If Required 复 
选 框 ， 当 提示 确认 时 ， 单 击 Yes， 然 后 单 击 Install。 

(14) 在 Installation Progress 页 面 上 ， 单 击 Close After The Installation Succeeds。 

(15) 在 Server Manager 中 ， 单 击 Tools， 然 后 单 击 Internet Information Services (IIS) Manager。 

(16) 在 Internet Information Services(IIS) 省 理 器 控制 台 , 展开 Sites 文件 夹 , 右 击 Default Web Site, 然后 单 击 Add 
Virtual Directory。 

(17) 在 Add Virtual Directory 对 话 框 中 , 将 Alias 设置 为 CertData, Physical Path 设置 为 CACertData, 然后 点 击 OK。 


4. 安 秋 企业 级 从 属 CA C-PKI-01 

配置 并 运行 了 离线 的 根 CA 后 ， 下 面 在 名 为 C-PKI-01 的 计算 机 上 完成 企业 级 从 属 CA 的 初始 安装 。 这 个 CA 从 
属于 刚 部 普 和 配置 的 离线 根 CA。 

(1) 作为 Enterprise Admins 组 的 成 员 登 录 到 C-PKI-01。 

(2) 单 击 Start， 然 后 单 击 Server Manager。 

(3) 单 击 Manage， 在 下 拉 某 单 中 单 击 Add Roles and Features。 

(4) 如 果 Before You Begin 页 面 出 现 ， 单 击 Skip This Page By Default 复 选 枉 ， 然 后 单 击 Next。 

(5) 在 Select Installation Type 页 面 上 ， 确 保 选 择 了 Role-Based or Feature-Based 安装 选项 ， 并 单 击 Next。 

(6) 在 Select Destination Server 页 面 上 ， 确 保 选 择 了 C-PKI-01 并 单 击 Next。 

(7) 在 Select Server Roles 页 面 上 ， 单 击 Active Directory Certificate Services 复 选 枉 。 当 提示 是 否 添 加 Active 
Directory 认证 服务 所 需 的 特性 时 ， 单 击 Add Features， 然 后 单 击 Next。 

(8) 在 Select Features 页 面 上 ， 单 击 Next。 

(9) 在 Active Directory Certificate Services 页 面 上 ， 单 击 Next。 

(10) 在 Select Role Services 页 面 上 , 确保 选中 了 Certification Authority 复 选 框 , 并 单 击 Certification Authority Web 
Enrollment。 当 提示 添加 Certification Authority Web Enrollment 所 需 的 特性 时 ， 单 击 Add Features， 然 后 单 击 Next。 

(11) 在 Select Role Services 页 面 上 ， 单 击 Next。 注 意 ， 这 放 选 择 了 不 同 的 选项 ， 以 指示 正在 服务 器 上 安装 的 角 
色 服 务 。 

(12) 在 Web Server Role(IS) 页 面 上 ， 单 击 Next。 

(13) 在 Select Role Services 页 面 上 ， 单 击 Next。 现 在 已 经 添加 了 必要 的 IIS 角色 服务 ， 它 们 将 文 持 此 服务 器 上 
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的 AD CS 部 署 。 

(14) 在 Confirm Installation Selections 页 面 上 ， 单 击 Restart The Destination Server Automatically If Required 复 选 
框 。 当 提示 确认 时 ， 单 击 Yes， 然 后 单 击 Install。 

(15) 安装 完成 后 ， 在 Installation Progress 页 面 上 ， 单 击 Configure Active Directory Certificate Services On The 
Destination Server。 

(16) 在 Credentials 页 面 上 , 确保 列 出 的 凭证 是 Local Administrators 组 和 域 的 Enterprise Admins 组 的 成 员 , 然后 
单 击 Next。 

(17) 在 Role Services 页 面 上 ， 单 击 Certification Authority and Certification Authority Web Enrollment 复 选 框 ， 人 然 
后 单 击 Next。 

(18) 在 Setup Type 页 面 上 ， 单 击 Enterprise CA， 然 后 单 击 Next。 

(19) 在 CA Type 页 面 上 ， 单 击 Subordinate CA 选项 ， 然 后 单 击 Next。 

(20) 在 Private Key 页 面 上 ， 确 保 选 择 了 Create A New Private Key 选项 ， 然 后 单 击 Next。 

(21) 在 Cryptography For CA 页 面 中 ， 将 哈 希 算法 设置 为 SHA512， 将 密 钥 长 度 设 置 为 4096， 然 后 单 击 Next。 
注意 ， 这 些 选 项 与 根 CA 匹配 。 

(22) 在 CA Name 页 面 上 上， 接受 Common Name for this CA 的 默认 值 ， 确 保 将 Distinguished Name Suffix 设置 为 
DC=contoso、DC=com， 然 后 单 击 Next。 

(23) 在 Certificate Request 页 面 上 ， 单 击 Save A Certificate Request To File On Target Machine 选项 ， 接 受 默 认 文 
件 CAC-PKI-01.contoso.com contoso-C-PKI-01-CA。 然 后 音 击 Next。 

(24) 在 CA Database 页 面 上 ， 接 受 证 书 数据 库 及 其 日 志 的 默认 位 置 ， 然 后 单 击 Next。 如 部 奢 根 CA 时 所 述 ， 应 
该 在 生产 环境 中 使 用 非 系统 卷 。 

(25) 在 Confirmation 页 面 上 ， 单 击 Configure， 如 图 10.7 所 示 。 


让 ,AD CS Configuration 


DESTINATION $ERVER 
Confirmation C_pi -OLeontaso.com 


Credentiale To configure the following roles, role services, or features, click Configure, 
Role Services 
Setup Type 
pp Certification Authority 
CA Type: Enterprnse Subordinate 
Frvate hey Cryptographic provider: RSA#Microsoft Software Key Storage Provider 
Cryptography Hash Algorithm: SHA256 
CA Name Key Length: 4096 
Allow Adminmstrator Interaction: Dsabled 
Certficate Validity Pericd Determined by the parent CA 
Distnguished Name: CN=cantese-C-PKI-01-CA DC=caontaesa, DC=com 
| Confirmation Oiflimne Request File Locatiorm CMC-PKI-OT1.contoso.com contoso-C-PKI-01-CA.req 
Certficate Database Location: CA:WiIndows\system32\CertLog 
Certificate Database Log CMWindows\system32\CertLog 


Location: 


Certificate Recuest 


Certiicate Database 


Certification Authority Web Enrollment 


re 


图 10.7 Confirmation 页 面 


(26) 等 竺 配置 完成 , 注意 关于 安装 Active Directory Certificate Services 的 警告 , 然后 单 击 Close。 警告 通知 指示 ， 
从 属 CA 需要 来 自 父 CA 的 证 书 ， 如 图 10.8 所 示 。 下 一 节 将 详细 介绍 从 根 CA 中 获取 证 书 的 过 程 。 
(27) 在 Results 页 面 上 ， 单 击 Close。 
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a AD CS Configuration 


DESTINATION SERVER 
R 已 SU |ts Cc-PKI-Olcontoso.com 


The following roles, role sernices, or features were configured: 


(~) Active Directory Certificate Services 


Certification Authority A Configuration succeeded with warnings 


dh The Actrve Directory Certificate Services installation ts ncomplete. To complete the installation, 
use the request fille "CN\C-PRI-O1contosocom _ contoso-C-PKI-01-CA,.req" to obtain a 
certificate from the parent CA. Then, use the Certification Authonty snap-=in to install the 
certificate. To complete this procedure, right-click the node With the name of the CA and then 
click Install CA Certificate. The operation completed successfulhy. Ox0 (WIN32: 0) 


More about CA Confrguration 


Certification Authority Web Enrollment © Configuration succeeded 


More about Web Enrollment Configuration 


图 10.8 ADCS 配置 结果 


5. 安装 企业 级 从 属 CA C-PKI-01 后 的 配置 

本 节 为 企业 级 的 从 属 CA 执行 安装 后 的 配置 步骤 ， 例 如 配置 CDP 和 AIA 信息 ， 安 装 CA 证 书 。 

(1) 在 C-PKI-01 上 ， 右 键 单 击 Start， 然 后 单 击 Command Prompt (Admin)。 

(2) 在 命令 提示 人 符 中 ， 运 行 如 下 命令 ， 创 建 到 C-OFFLINE-ROOT 上 CC: 驱动 器 的 驱动 器 映射 (如 果 提 示 的 话 ， 提 
供 本 地 管理 员 账 户 的 密码 )。 

net use 2: \\C-OFFLINE-ROOT.contoso.com\C$ /u:C-OFFLINE-ROOT\Administrator 

(3) 在 命令 提示 符 中 ， 运 行 Robocopy Zi\ CAN\ C-OFFLINE-ROOT.cer 命令 ， 把 C-OFFLINE-ROOT.cer 文件 从 
C-OFFLINE-ROOT 的 C 驱动 器 复制 到 本 地 C 驱动 器 的 根 目录 。 注 意 ，Robocopy 命令 的 语法 为 : 

<source> <aestination> <filename> (filename 是 可 选 的 ) 

(4) 有 尼 动 文件 资源 管理 器 ， 浏 览 到 C 驱动 器 的 根 目录 ， 右 击 C-OFFLINE-ROOT.cer 文件 ， 在 弹出 的 菜单 中 ,， 单 
击 Install Certificate。 

(5) 在 Welcome to the Certificate Import Wizard 页 面 上 ， 选 择 Local Machine 选项 并 单 击 Next。 

(6) 在 Certificate Store 页 面 上 ， 选 择 Place All Certificates In The Following Store 选项 ， 使 用 Browse 命令 按钮 将 
Certificate Store 设置 为 Trusted Root Certification Authorities， 并 单 击 Next。 这 一 步 确保 根 CA 是 可 信和 的 。 

(7) 在 Completing the Certificate Import Wizard 页 面 上 ， 单 击 Finish。 在 确认 窗口 中 单 击 OK， 指 示 导 入 成 功 。 

(8) 在 命令 提示 符 中 ， 运 行 如 下 命令 ， 将 在 C-OFFLINE-ROOT 的 C: 驱 动 器 上 生成 的 CRL 和 AIA 文件 复制 到 
C-UTIL-01 的 CertData 共享 上 。 

Robocopy Z:\ Windows\System32\certsrv\CertEnroll \C-UTIL-01\CertData *.cr? 

(9) 在 命令 提示 从 下， 运行 Robocopy C\ Zi\ C-pki-01.contoso.com contoso-C-pki-01-careq 命令 ， 将 生成 的 请 求 
文件 复制 到 C-OFFLINE-ROOT 中 。 

(10) 在 C-OFFLINE-ROOT 的 Certification Authority 控制 台 上 ， 右 击 C-OFFLINE-ROOT-CA 节操 ; 在 弹出 的 六 
单 中 ， 单 击 All Tasks， 然 后 单 击 Submit New Request。 

(11) 在 Open Request File 对话 框 中 ， 浏 览 到 CC-PKI-01.contoso.com contoso-C-PKI-01-CA.req 文件 并 单 击 
Upen。 

(12) 在 Certification Authority 控制 台中 ， 单 击 Pending Requests 文件 夹 并 右 击 请 求 的 条 目 ; 在 弹出 的 菜单 中 ， 
单 击 All Tasks， 然 后 单 击 Issue。 

(13) 在 Certification Authority 控制 台中 ， 单 击 Issued Certificates 文件 夹 ， 然 后 双击 新 颁发 的 证 书 。 
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(14) 在 Certificate 窗口 中 ， 单 击 Details 选项 卡 ， 然 后 单 击 Copy To File。 

(15) 在 Certificate Export Wizard 窗口 的 Welcome to the Certificate Export Wizard 页 面 上 ， 单 击 Next。 

(16) 在 Export File Format 页 面 上 , 单 击 Cryptographic Message Syntax Standard-PKCS #7 Certificates (.P7B) 选 项 ， 
单 击 Include All Certificates In The Certification Path If Possible 复 选 枉 ， 然 后 单 击 Next。 

(17) 在 File to Export 页 面 的 File Name 文本 框 中 ， 键 入 CAC- pki -01.p7b， 然 后 单 击 Next。 

(18) 在 Completing the Certificate Export Wizard 页 面 上 ， 单 击 Finish， 并 在 通知 导出 成 功 的 对 话 框 中 单 击 OK。 

(19) 在 命令 提示 符 窗 口中 ， 运 行 Robocopy Z\ CN\*.P7B 命令 ， 把 C-PKI-01 上 的 *.P7B 文件 复制 到 C 驱动 器 。 

(20) 在 C-PKI-01 上 ， 从 Server Manager 上 单 击 Tools， 然 后 单 击 Certification Authority。 

(21) 在 C-PKEI-01 上 ， 在 Certification Authority 控制 台 上 ， 右 击 contoso-C-PKI-01-CA 节点 ， 单 击 All Tasks， 然 
后 单 击 mstall CA Certificate。 

(22) 在 Select File To Complete CA Installation 窗口 中 ， 浏 览 到 CAC- PKI-01.p7b 文件 ， 然 后 单 击 Open。 

(23) 在 Certification Authority 控制 台中 , 右 击 contoso-C-PKI-01-CA 节点 , 单 击 All Tasks, 然后 单 击 Start Service。 

(24) 在 Certification Authority 控制 台 ， 右 击 contoso-C-PKI-01-CA 节点 ， 在 弹出 的 菜单 中 ， 单 击 Properties。 

(25) 在 Properties 对 话 框 中 ， 切 换 到 Extensions 选项 卡 ， 确 保 CRL Distribution Point(CDP) 条 目 出 现在 Select 
Extension 下拉 列 表 中 ， 然 后 单 击 Add。 

(26) 在 Add Location 对 话 框 的 Location 文本 框 中 ， 输 入 http://c-util-01.contoso.com/CertData/ <CaName> 
<CRLNameSuffix><DeltaCRLAllowed>.crl， 单 击 OK。 

(27) 选中 新 添加 的 CDP 条 目 后 ， 单 击 Include in the CDP extension of issued certificates 和 Include in CRLs 复 选 
框 。 客 户 疹 使 用 此 功能 来 得 找 Delta CRL 位 置 选项 。 

(28) 单 击 Add， 添 加 另 一 个 位 置 。 


(29) 在 Add Location 对 话 框 的 Location 文本 框 中 , 指定 以 下 路 径 : file:/c-util-01.contoso.conyCertData/<CaName> 


<CRLNameSuffix><DeltaCRLAllowed>.crl， 然 后 单 击 OK。 

(30) 选中 新 添加 的 CDP 条 目 后 ， 单 击 Publish CRLs To This Location 和 Publish Delta CRLs To This Location 选项 。 

(31) 在 位 置 列 表 中 ， 删 除 以 “http:W<ServerDNSName> ”开头 的 条 目 和 以 “fle:/ <ServerDNSName> ”开头 的 条 
目 。 一旦 完成 , 列表 就 应 该 包含 四 个 条 目 , 第 一 个 条 目 引 用 本 地 文件 系统 (以 C:\Windows\system32\CertSrv\CertEnroll 
开头 )， 第 二 个 条 目 以 “1ldap:/” 开 头 ， 第 三 个 条 目 以 “http:Wc-util-01.contoso.comycertdata ”开头 ， 第 四 个 条 目 以 
“file:Wc-util-01.contoso.comycertdata” 开 头 。 

(32) 在 Select Extension 下 拉 列 表 中 ， 单 击 Authority Information Access (AIA) 和 条目， 并 单 击 Add。 

(33) 在 Add Location 对 话 框 的 Location 文本 框 中 ,指定 http://c-util-01.contoso.com/CertData/ <ServerDNSName> 
<CaName><CertificateName>.crt， 然 后 单 击 OK。 

(34) 选择 新 添加 的 CDP 条 目 后 ， 单 击 Include in the AIA extension of issued certificates 选项 。 

(35) 在 位 置 列 表 中 ， 删 除 以 “http:/W<=ServerDNSName> ”开头 的 条 目 和 以 “file:/W<ServerDNSName>” 开 头 的 条 
目 。 一 旦 完成 ， 列 表 应 包含 三 个 条 目 ， 第 一 个 条 目 引 用 本 地 文件 系统 (从 C:VWindows\system32\CertSrwWCertEnroll 开 
涉 )， 第 二 个 条 目 以 “ldap:W/” 开 涉 ， 第 三 个 条 目 以 “http://c-util-01.contoso.com/certdata” 开 涉 ， 如 图 10.9 所 示 。 

(36) 单 击 OK。 当 提示 重新 启动 Active Directory Certificate Services 时 ， 单 击 Yes。 

(37) 在 Certification Authority 控制 人 台中， 展开 contoso-C-PKI-01-CA 节点 ， 右 击 Revoked Certificates 文件 夹 ， 
单 击 All Tasks， 然 后 单 击 Publish。 

(38) 在 Publish CRL 对 话 框 中 ， 确 保 选 中 了 New CRL 单 选 按 钮 ， 然 后 单 击 OK。 

(39) 作为 本 节 的 最 后 一 步 ， 删 除 服务 器 文件 系统 上 所 有 复制 的 证 书 文 件 和 证 书 请 求 文件 。 

现在 有 了 一 个 功能 完备 的 双 层 PKI。 此 时 ， 通 弟 会 关闭 离线 的 根 CA， 直 到 下 一 个 月 的 维护 周期 。 本 章 剩 余部 
分 将 讨论 管理 PKI 的 一 些 操作 方面 。 

除了 规划 和 设计 PKI、 部 着 PKI 之 外 ， 还 需要 知道 如 何 执行 与 PKI 相关 的 常见 任务 ， 来 操作 PKI。 下 一 节 将 介 
绍 几 个 用 于 管理 的 关键 领域 ， 包 括 使 用 证 书 模 板 和 配置 自动 证 书 注 册 。 虽 然 这 不 是 唯一 需要 知 踢 如何 处 理 的 两 项 任 
务 ， 但 它们 代表 了 关键 的 起 点 。 


2955 
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contoso-C-PKI-01-CA Properties ? 让 


Enrellment Agents Auditing Recovery Agents Securty 
General Policy Module Exit Module 
Extensions Storage Certificate Managers 


belect Bdtension: 
|Auithoriy Information Access (AlA) 
Specity locations from which users can obtain the certiicate forthis CA. 


EA Include in the AIA extension of issued certificates 


Include in the online certificate status protocol (OCSP) extension 


图 10.9 ”Extensions 选项 卡 


10.5 ”使 用 证 书 模 极 


证 书 模 板 简化 了 部 署 证 书 的 过 程 。 模 板 不 仅 可 以 帮助 管理 员 确保 在 其 环境 中 证 书 的 一 致 部 署 ， 还 可 以 帮助 简化 
用 户 和 其 他 管理 员 的 证 书 请 求 过 程 。 这 是 因为 证 书 模 板 可 以 大 大 减少 在 证 书 请 求 期 间 请 求 者 需要 知道 或 输入 的 信息 
量 。 不 是 由 请 求 者 选择 密 钥 长 度 或 确定 证 书 的 私 钥 是 否 可 以 导出 ， 而 是 由 一 个 模板 来 指定 这 些 信息 。 

只 能 在 Enterprise CA 中 使 用 证 书 模板 。 因 此 , 不 会 在 根 CA 上 找到 模板 。Windows Server 附带 了 许多 内 置 模 板 。 
可 使 用 模板 部 罩 证 书 ， 但 不 应 该 这 样 做 ， 因 为 默认 设置 没有 提供 高 安全 性 。 相 反 ， 最 好 复制 一 个 内 置 模 板 ， 根 据 组 
织 的 需求 调整 设置 ， 然 后 使 用 复制 的 模板 部 普 证 书 。 稍 后 将 介绍 证 书 模板 的 关键 属性 ， 并 解释 需要 理解 和 考虑 的 重 
要 选项 。 然 后 详细 介绍 这 个 过 程 。 下 面 从 内 置 的 模板 开始 ， 如 图 10.10 所 示 。 


叫 Certificate Tem plates Console 

File Action View Haelp 

御 中 | 国 | 回忆 | 

曙 Certificate Templates Template Display Mame Schema Version Version Intended Pur 个 
加 Administrator 4.1 
到 Authenticated Session 有 
i 避 basic EFS 3,1 
二 CA Exchange 106.0 。 private Key 上 
:a| CEP Encryption 4.1 
加 Code Signing 3,1 
到 Com puter ],] 
二 Cross Certification Authority 105.0 
:| Directory Email Replication 115.0 ”Directory Ser 
到 Domain Controller 41 
:到 Domain Controller Authentication 110,0 Clrent Authe 
到 EFS Recovery Agent 6.1 
到 Enrollment Agent 
划 Enrollment Agent (Computer) 
司 Exchange Enrollment Agent (Offline requ,... 
时 Exchange Signature Onhy 
吉 Exchange User 
* 


1 
1 
1 
a 
1 
1 
1 
a 
用 
1 
过 
1 
1 
1 
1 
1 
1 


Manages certificate templates that can be used by enterprise certification authornities (CAs) on the r 


图 10.10 内 置 的 模板 
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要 开始 使 用 目 己 的 模板 ， 右 键 单 击 要 复制 的 模板 ， 然 后 单 击 Duplicate Template。 此 时 显示 的 新 窗口 市 有 多 个 选 
项 卡 。 在 这 里 可 以 定制 选项 卡 中 的 设置 ， 以 满足 组 织 的 需求 ， 如 图 10.11 所 示 。 


Properties of New Template 


Subject Name Server lssuance Requirements 
Superseded Templates Cxtensions Security 
Compatibilty General Request Handing Cryptography Key Atestation 


The template options available are based on the eariest operating System 
versions set in Compatibility Settings. 


[v] Show resulting changes 
Compatibility Settings 


Certification Authority 
Windows Server 2016 


Certificate recipient 


Windows 10 /Windows Server 2016 | 


These settings may not prevent earier operating systems from using this 
template. 


图 10.11 ”Compatibility 选项 卡 


兼容 性 设置 指示 模板 文 持 哪些 操作 系统 。 为 模板 使 用 最 新 的 兼容 性 设置 (Windows Server 2016) 时 ， 可 以 访问 大 
多 数 选项 (以 及 最 新 的 选项 )。 这 对 安全 性 来 说 通常 是 件 好 事 。 不 过 ， 这 也 可 能 意味 着 Windows Server 的 早期 版 本 不 
能 使 用 该 模板 。 默 认 情 况 下 ， 应 配置 一 个 新 的 证 书 模板 ， 以 文 持 与 Windows XP 和 Windows Server 2003 兼容 。 这 不 
是 很 好 ! 这 种 级 别 只 允许 使 用 旧 的 加 密 服 务 提 供 程 序 ， 大 大 降低 了 从 模板 中 颁发 的 证 书 的 安全 性 。 将 Certification 
Authority 的 兼容 性 更 新 到 Windows Server 2016， 将 获得 如 表 10.1 所 示 的 模板 选项 。 


表 10.1 Windows Server 2016 Certification Authority 的 兼容 性 设置 


用 于 设置 的 选项 卡 名 称 设置 名 称 
Server 不 在 CA 数据 库 中 存储 证 书 和 请 求 
SeIVeT 不 包括 已 颁发 证 书 中 的 撤销 信息 


将 证 书 请 求 兼 容 性 更 新 到 Windows 10/Windows Server 2016， 就 会 获得 如 表 10.2 所 示 的 模板 选项 。 


表 10.2 Windows Server 2016 证 书 请 求 的 兼容 性 设置 


用 于 设置 的 选项 卡 名 称 设置 名称 
Request Handling 用 于 智能 卡 证 书 的 目 动 续 期 ， 如 果 无 法 创建 新 窗 钥 ， 请 使 用 现 有 的 密 铀 
Request Handling 使 用 相同 的 密 钥 更 新 
Request Handling 授权 其 他 服务 账户 访问 私 铀 
Cryptography 在 证 书 请 求 期 间 ， 客 户 机 可 以 使 用 离散 签名 
Cryptoeraphy 密 钥 存储 提供 程序 
Key Attestation 必 选 ， 如 果 客 尸 有 了 能. 


Key Attestation 必 选 
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( 续 表 ) 
用 于 设置 的 选项 卡 名 称 设置 名称 
Key Attestation 用 户 和 凭证 
Key Attestation 硬件 证 书 
Key Attestation 硬件 密 钥 
Key Attestation 只 执行 认证 (不 包括 颁发 策略 ) 
Subject Name 使 用 现 有 证 书 中 的 主题 信息 ， 对 更 新 请 求 进行 自动 注册 
Issuance Requirements 允许 基于 密 钥 的 续 订 
Extensions 基本 的 约束 
Extensions 局 用 请 求 者 指定 的 颁发 策略 


在 高 安全 性 的 环境 中 , 应 该 创建 特定 于 版 本 的 模板 ,以 利用 可 用 的 安全 选项 , 即使 只 是 针对 计算 机 的 一 个 子 集 。 

在 General 选项 卡 (参见 图 10.12) 中 ， 给 模板 命名 ， 指 定 有 效 期 ， 指 定 续 订 期 ， 并 选择 是 否 在 Active Directory 中 
发 布 证 书 : 

Template display name( 模 板 显示 名 称 ): 使 用 一 个 摘 述 性 名 称 ， 该 名 称 对 要 请 求证 书 的 管理 员 和 用 户 有 意义 。 

Template name( 模 板 名 ): 这 是 根据 显示 名 目 动 填充 的 。 

Validity period( 有 效 期 ): 默认 为 一 年 。 可 以 根据 证 书 的 使 用 情况 减少 或 增加 它 。 一 般 来 说 ， 有 效 期 越 短 ， 证 书 
越 安 全 。 然 而 ， 像 大 多 数 安全 领域 一 样 ， 需 要 平衡 安全 性 和 可 用 性 。 例 如 ， 可 将 有 效 期 设置 为 几 个 小 时 。 但 这 意味 
痢 证 书 将 不 断 更 新 ， 并 可 能 影 啊 性 能 和 管理 。 另 一 方面 ， 几 年 的 有 效 期 通 彰 是 不 可 行 的 ， 因 为 它 将 证 书 骏 露 给 扩展 
的 攻击 者 。 此 外 ， 如 果 不 交 换 证 书 ， 就 无 法 立即 利用 安全 方面 的 增强 (如 密 钥 长 度 )。 

Renewal period( 续 订 期 ): 默认 情况 下 ， 续 订 期 设置 为 6 周 。 这 意味 着 在 有 效 期 还 剩 6 周 时 将 尝试 续 期 。 请 注 
意 ， 只 有 在 模板 上 启用 了 重新 注册 ， 此 续 期 才 有 效 。 

Publish certificate in Active Directory( 在 Active Directory 中 发 布 证 书 ): 此 选项 在 启用 时 将 证 书 发 布 为 Active 
Directory 中 用 户 或 计算 机 对 象 的 属性 。 

properties of New Template 
Subject Name Server lssuance Requirements 
Superseded Templates Edensions Security 
Compatibility General Request Handling Cryptography Key Atestation 


Template display name: 


Template name: 


Validity period: Renewal period: 


| yeas ~ | Slweeks ~ 


局] Publish certificate in Active Directory 
[| Do not automatically reenroll if a duplicate certificate exists in Active 
Directory 


10.12 ”General 选项 卡 
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Request Handling 选项 卡 (参见 图 10.13) 有 几 个 可 选 特性 。 默 认 情 况 下 ， 它 们 都 是 茶 用 的 。 虽 然 大 多 数 选 项 都 是 
\ 言 目 明 的 ， 但 应 该 了 解 多 许 在 模板 上 导出 私 钥 对 安全 的 影响 。 当 允许 导出 私 钥 时 ， 会 降低 证 书 的 安全 性 。 大 多 数 
情况 下 ， 应 该 避免 局 用 该 选项 。 但 也 有 一 些 有 效 的 用 例 ， 例 如 当 一 个 证 书 在 多 人 台 计 算 机 上 共享 时 ， 和 硕 望 能 够 轻松 地 
导出 和 导入 。 下 面 简要 描述 Request Handling 选项 卡 上 可 用 的 一 些 选项 。 
删除 撤销 或 过 期 的 证 书 (不 存档 )。 
包括 主题 所 允许 的 对 称 算法 。 
归档 文件 的 加 密 私 钥 。 
给 额外 的 服务 账户 授予 访问 私 钥 的 权限 。 
允许 导出 私 钥 。 
用 相同 的 密 钥 更 新 。 
对 于 智能 卡 证 书 的 目 动 更 新 ， 如 果 无 法 创建 新 的 密 钥 ， 就 使 用 现 有 的 密 钥 。 
注册 不 需要 任何 用 户 输入 的 主体 。 
注册 期 间 提 示 用 户 。 
注册 期 则 提示 用 户 ， 在 使 用 私 钥 时 需要 用 户 输 入 。 


分 和 


Properties of New Template 


Subject Name Server lssuance Requirements 
Superseded Templates Edensions 5ecurity 
Compatibility General Request Handling Cryptography Key Attestation 


ee 


Delete revoked or expired certitficates (do not archive) 


LIndude symmetric algorithms allowed by the subject 
[] Archive subject's encryption private key 


[|_] Athorize additional service accounts to access the private key 


Alow private key to be exported 


[_] Renew with the same key 


For automatic renewal of smart card certificates, use the existing key if a 
new key cannot be created 


Do the following when the subject is enrolled and when the private key 
associated with this certificate is Used: 

Enroll subject without requiring any User input 

Prompt the user during enrollment 


Prompt the user during enrollment and require user input when the 
private key is used 


图 10.13 Request Handling 选项 卡 


在 Cryptography 选项 卡 (参见 图 10.14) 中 ， 可 以 选择 提供 程序 类 别 、 算 法 名 称 、 最 小 密 钥 大 小 ， 以 及 请 求 是 否 必 
须 使 用 主题 计算 机 上 的 特定 提供 程序 列表 或 任何 可 用 的 提供 程序 。 可 设置 请 求 散 列 (MD2、MD4、MD5、SHA1、 
SHA256、SHA384、SHA512) 以 及 是 否 使 用 另 一 种 签名 格式 。 提 供 程序 类 别 支 持 两 个 选项 : 旧 的 加 密 服 务 提供 程序 
和 密 钥 存储 提供 程序 。 当 使 用 旧 的 加 密 服 务 提供 程序 时 ， 就 不 能 选择 算法 名 称 或 散 列 类 型 。 大 多 数 情 况 下 ， 应 该 选 
用 密 钥 存储 提供 程序 ， 因 为 它 更 新 ， 提 供 了 增强 的 安全 性 (例如 文 持 最 新 的 增强 密 钥 存储 机 制 、 更 强 的 密 钥 算法 和 
更 强 的 签名 算法 )。 除 了 指定 提供 程序 类 别 之 外 ， 还 可 指定 最 小 密 钥 长 度 。 在 撰写 本 书 时 ， 默 认 的 (也 是 最 常用 的 ) 
最 小 密 钥 长 度 是 2 048 位 。 但 建议 选择 最 小 密 钥 长 度 为 4 096 位 ， 以 增强 安全 性 。 
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Properties of New Template 


Subject Name Server Bsuance Requirements 
Superseded Templates Edensions Security 
Compatibilty General Request Handing Crptography Key Miestation 
Provider Category: Key Storage Provider ww 
ANgorthm name: | RSA 


Choose which cryptographie providers can be used for requests 

(®) Requests can use any provider available on the subject's computer 
OO Requests must use one of the folowing providers: 

Prowvders 


加 


LiMicrosoft Software Key Storage Provider 
L Migrosoft Smart Card Key Storage Provider 


Hequest hash: SHA1 


DD Use atemate signature format 


在 Extensions 选项 卡 (参见 图 10.15) 中 ， 可 查看 和 更 改 Extensions 选项 卡 上 证 书 模板 的 一 些 关 键 细 节 。 例 如 ， 可 
更 改 与 模板 关联 的 应 用 程序 策略 。 应 用 程序 集 略 规定 了 如 何 使 用 证 书 ， 例 如 用 于 EFS( 加 密 文件 系统 ) 的 应 用 程序 策 


略 。 还 可 添加 颁发 策略 。 颁 发 策略 规定 了 证 书 和 颁发 的 标准 。 许 多 情况 下 ， 如 果 复 制 了 适当 的 证 书 模 板 ， 则 不 必 对 
Extensions 选项 卡 进行 任何 更 改 。 


Properties of New Template 


Subiject Name Server lssuance Reguirements 
Compatibilty General Request Handing Cryptography Key Mtestation 
Superseded Templates bdensions Security 


To modify an extension, select 让 and then click Edit. 


Exdtensions included in this template: 
[| Application Policies 

国 Basic Constraints 

[本 Certificate Template Information 


Description of Cartificate Template Information: 
Template display name: Copy of Computer 
nr: 


Object ier: 
1.3.6.1.4.1.311.21.8.6901781.486876.673418.8679970.3388855 225. 
5128924.11354529 

Subject 


type: Computer 
Majar version number: 100 


图 10.15 ” ”Extensions 选项 卡 


在 Security 选项 卡 (参见 图 10.16) 中 ， 可 以 配置 用 户 和 组 拥有 哪些 权限 一 一 例如 ， 销 售 部 门 的 成 员 是 否 可 以 使 用 
模板 请 求证 书 。 如 果 想 授予 用 户 或 组 使 用 模板 请 求证 书 的 权限 ， 请 注意 ,除了 读 取 权 限 之 外 , 还 作 须 授予 注册 权限 。 
目 动 注册 有 单独 的 权限 (请 参阅 稍 后 的 10.6 一 他 )。 
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Properties of New Template 让 


Subject Name Servear lsuance Requirements 
Compatibilty ‘(eneral Requed Handling Cryptography Key Mtestation 
Superseded Templates Edtensions Security 


Group or user Mames: 
4 puthenticated Users 
2 Brian (brian 名 contoso.com) 
Domain Admins CONTOSDYDomain Admins) 
Domain Computers (CONTOSO\Domain Computers) 
OE Enteprise Admins (CONTOSO\Enterprise Admins) 


Permissions for Authenticated Users 


Full Control 
Read 
Wnte 
Enroll 
Autoenroll 


For special permissions or advanced ssettings, chick 
Advanced. 


| ox || cncs | 
图 10.16 ”Security 选项 卡 


默认 情况 下 ， 证 书 处 理 包括 在 CA 数据 库 中 存储 每 个 证 书 请 求 和 已 颁 发 证 书 的 记录 。 非 持久 证 书 处 理 指 在 CA 数据 
库 中 不 存储 请 求 和 证 书 的 情况 下 ， 处 理 证 书 请 求 和 颁发 证 书 。 此 配置 家 在 满足 颁发 大 量 证 书 的 场景 的 需求 ， 包 括 强 制 执 
行 IPsec(Internet 协议 安全 性 ) 的 NAP( 网 络 访 问 保 护 ) 部 署 ， 这 种 情况 下 ， 每 天 都 要 颁发 数 十 万 个 有 效 期 很 短 的 证 书 。 在 不 
需要 证 书 撤销 的 场景 中 ， 为 证 书 模 板 启 用 Do not include revocation information in issued certificates 选项 ， 可 缩短 证 书 的 验 
证 时 间 。 如果 证 书 中 没有 证 书 撤销 信息 , 则 在 证 书 验证 期 间 不 会 检查 撤销 状态 。 在 局 用 Do not store certificates and requests 
in the CA database 选项 时 ， 建 议 使 用 此 选项 。 图 10.17 显示 了 Server 选项 卡 ， 其 中 只 有 两 个 选项 。 其 中 之 一 是 ， 证 
书 和 请 求 是 否 存 储 在 CA 数据 库 中 (默认 启用 )， 以 及 撤销 信息 是 否 包 含 在 已 颁发 的 证 书 中 (默认 包含 )。 


Properties of New Template 斌 


Compatibiity General Request Handing Cryptography Hey Miestation 
Superseded Templates Extensions Security 
Subject Name Server lssuance Requirements 


[| Do not store certiicates and requests in the CA database 


[|] Do not include revocation information in issued certificates 


图 10.17 Server 选项 卡 
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在 图 10.18 中 ， 显 示 了 Issuance Requirements 选项 卡 。 


Properties of New Template 让 


Compatibiity General Regquest Harnding Cryptography Key Atesation 
Superseded Templates Exterrsions Security 
Subject Name Server Bsuance Nedquiremerits 


Require the following for enrollment: 
CA certificate manager approwal 
LThis number of authorized signatures: 0 
FF you require more than one sonature, autoenrollment is not allowed. 


Polcy type regquired ir stgrrature 


pplcation pollcy 


Require the following for reenrollmert: 
全) Same crteria as for enroliment 
0) Valid existing certficate 

Alow key based renewal 


Requires subject information to be provided within the certificate 
request. 


ok IL cmce ] roy 


到 10.18 Issuance Requirements 选项 卡 


默认 情况 下 ， 会 处 理 符合 证 书 模板 要 求 的 证 书 请 求 ， 并 目 动 和 颁发 证 书 。 在 高 安全 性 的 环境 中 ，PKI 官 理 员 通 瘦 
希望 手动 审查 、 批 准 所 有 新 的 证 书 请 求 。 为 了 手工 批准 对 特定 证 书 模板 的 所 有 请 求 ， 请 在 复制 的 证 书 模板 上 局 用 
CA certificate manager approval 选项 。 

在 以 下 步骤 中 ， 介 绍 创建 目 定义 证 书 模板 Contoso Server 的 过 程 。 随 后 使 用 模板 将 证 书目 动 部 署 到 服务 器 OU 
或 服务 器 OU 下 的 子 OU 中 的 服务 器 。 

(1) 打开 Certification Authority 控制 台 。 

(2) 如 有 必要 ， 展 开 左 侧 窗 格 中 的 CA。 

(3) 在 左 侧 窗 格 中 右 击 Certificate Templates， 然 后 单 击 Manage。 

(4) 在 Certificate Templates 控制 台 ， 右 击 右 侧 窗 格 中 的 Computer 模板 ， 然 后 单 击 Duplicate Template。 

(5) 在 New Template 窗口 的 Properties 中 , 在 Compatibility 选项 卡 上 , 将 Certification Authority 的 兼容 性 设置 指 
定 为 Windows Server 2016。 在 Resulting Changes 对 话 框 中 ， 单 击 OK 以 确认 添加 的 模板 选项 。 

(6) 将 Certificate recipient compatibility 设置 指定 为 Windows 10/Windows Server 2016。 在 Resulting Changes 对 话 
框 中 ， 单 击 OK 以 确认 添加 的 模板 选项 。 

(7) 单 击 General 选项 卡 。 将 模板 的 显示 名 更 改 为 Contoso Server。 

(8) 单 击 Publish Certificate In Active Directory 复 选 框 。 

(9) 单 击 Cryptography 选项 卡 , 并 将 Provider Category 设置 为 Key Storage Provider。 这 是 可 用 于 Windows Server 
的 最 新 提供 程序 ， 提 供 了 最 强 的 算法 。 

(10) 确保 将 算法 设置 为 RSA， 并 将 最 小 密 钥 长 度 设置 为 4096。 

(11) 单 击 Security 选项 卡 。 列 出 的 权限 决定 哪些 用 户 或 组 可 以 注册 或 自动 注册。 默认 情况 下 ， 目 动 注册 权限 不 
会 授予 任何 人 。 单 击 Add, 键入 Domain Computers, 然后 单 击 OK。 在 权限 列表 中 ,给 Allow permissions 单 击 Autoenroll 
And Read 复 选 框 。 完 成 后 ， 域 计算 机 应 该 具有 读 取 、 注 册 和 目 动 注册 权限 。 


使 定制 模板 对 请 求 者 可 用 

本 节 使 用 前 一 节 中 定制 的 Contoso Server 模板 ， 使 其 可 用 于 目 动 注册 和 其 他 请 求 者 。 注 章 ， 一 旦 使 模板 可 用 于 发 布 ， 
就 会 锁定 模板 设置 。 如 果 以 后 需要 进行 更 改 ， 则 需要 复制 模板 ， 并 重新 发 布 它 。 因 此 ， 最 好 一 开始 就 正确 设置 。 

(1) 打开 Certification Authority 控制 台 。 
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(2) 如 有 必要 ， 在 左 侧 窗 格 中 ， 展 开 CA。 

(3) 在 左 侧 窗 格 中 ， 右 击 Certificate Templates， 单 击 New， 然 后 单 击 Certificate Template To Issue。 
(4) 在 Enable Certificate Templates 窗口 中 ， 单 击 Contoso Server 模板 ， 然 后 单 击 OK。 

(5) 证 书 模 板 可 用 于 请 求 者 和 目 动 注册 GPO( 下 一 他 创 建 )。 


10.6 ”自动 注册 


虽然 可 手动 为 单个 服务 器 请 求 单个 证 书 ,但 在 一 些 场景 中 ， 应 该 将 证 书目 动 部 罩 到 多 个 服务 器 。 例 如 ， 假 设 有 
25 个 域 控 制 器 ， 每 个 控制 器 都 需要 一 个 证 书 来 局 用 安全 通信 。 在 这 样 的 场景 中 ， 可 以 创建 一 个 链接 到 域 控制 器 OU 
的 GPO,， 来 自动 完成 证 书 部 四 过 程 。 这 种 配置 称 为 自动 注册 。 许 多 组 织 将 其 用 于 其 服务 器 环境 。 在 一 些 组 织 中 ，, 目 
动 注册 用 于 客户 机 (通常 在 使 用 客户 问 证 书 进行 对 份 验证 的 场景 中 ， 如 安全 的 无 线 网 络 )。 

本 节 介 绍 设置 GPO， 以 目 动 将 证 书 部 看 到 所 有 服务 器 的 过 程 。 本 节 将 目标 指定 为 Contoso\Servers OU 中 的 所 有 
服务 器 或 Servers OU 中 子 OU 下 的 所 有 服务 器 。 在 开始 前 ,已经 有 了 要 部 蜀 的 定制 证 书 。 如 果 没 有 按照 上 一 节 中 定 
制 证 书 模板 的 练习 进行 操作 ， 现 在 就 回去 完成 该 练习 ， 之 后 继续 。 

(1) 打开 Group Policy 管理 控制 台 。 

(2) 如 有 必要 ， 扩 展 Forest 和 Domains 容器 。 展 开 Contoso OU。 

(3) 右 击 Contoso\Compnuters\Servers OU， 然 后 单 击 Create A GPO In This Domain, And Link It Here。 

(4) 在 New GPO 窗口 中 ， 提 供 名 称 Autoenrollment， 然 后 单 击 OK( 参 见 
图 10.19)。 : 

(5) 右键 单 击 Autoregistration GPO， 然 后 单 击 Edit。 

(6) 在 Policy Editor 中 ,浏览 到 Computer Configuration|Policies | Windows ee 
Settings | Security Settings | Public Key Policies 。 

(7) 在 右 侧 窗 格 中 ， 定 位 并 双击 名 为 Certificate Services Client-Auto 图 10.19 ”New GPO 窗口 
Registration 的 策略 。 

(8) 将 Confieuration Model 设置 为 Enabled。 司 用 Renew expired certificates, update pending certificates, and remove 
revoked certificates 选项 ， 并 局 用 Update certificates that use certificate templates 选项 (参见 图 10.20)。 


New SPO 全 


Certificate Services Client - Auto-Enrollment Properties ? 和 X 


Enroliment Policy Configuration 


Enrall user and computer certificates automatically 


configuration Model: Enabled Se 


| Renew expired certificates, update pending certificates, and remove 
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re] Update certificates that use certificate templates 


Log expiry events and show expiry notifications when the percentage of 
remaining certificate lifetime is 
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‘storel, Store2, Store3 


| | 


图 10.20 设置 配置 模型 
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(9) 单 击 OK。 

(10) 右键 单 击 Certificate Services Client-Certificate Enrollment Policy， 然 后 单 击 Properties 。 

(11) 在 Properties 窗口 中 ， 将 Configuration Model 设置 为 Enabled， 然 后 单 击 OK。 

接 下 来 ， 登 录 到 服务 器 OU( 或 子 OU) 中 的 服务 器 ， 运 行 mvoke-GPUpdate PowerShell 命令 ， 刷 新 Group Policy。 
得 看 本 地 计算 机 的 证 书 存 储 库 ， 检 查 计算 机 是 人 否 具 有 来 和 目 部 署 的 证 书 。 如 果 运 行 的 是 Windows Server 2012 或 更 高 
版 本 ， 可 运行 certltm.masc 命令 ， 打 开 针 对 本 地 计算 机 存储 的 Certificates MMC。 


10.7 ”本章 要 操 


了 解 AD CS Windows Server 2016 中 的 新 增 功能 : 作为 PKI 管理 员 ， 随 着 Windows Server 新 版 本 的 发 布 ， 需 
要 了 解 AD CS 最 新 的 增强 功能 。 通 常 ， 增 强 功 能 实现 了 更 强 的 安全 性 ,减少 了 开销 ， 具 有 更 高 的 性 能 。 
问题 公司 的 AD CS 运行 在 Windows Server 2008 R2 上 。 管 理 团 队 希 望 确定 在 Windows Server 2016 上 渤 
移 到 AD CS 的 三 个 关键 优点 。 应 该 报告 哪些 优点 ? 
答案 这 有 几 个 优点 ， 其 中 的 几 个 优点 都 是 从 运行 在 Windows Server 2012 上 的 AD CS 开始 提供 的 。 应 该 
报告 的 三 个 关键 优点 是 增强 的 PowerShell 支持 (备份 、 恢 复 、 目 动 化 和 脚本 编制 )、Version 4 证 书 模板 (增强 
了 安全 性 ,能 指定 文 持 的 最 低 操 作 系 统 ) 和 AD DS 站 点 识别 (客户 闫 使 用 CA 碍 询 最 近 的 站 氮 , 以 提高 性 能 )。 
在 Windows Server 2016 中 ，AD CS 提供 了 增强 的 关键 认证 功能 ， 这 是 应 该 报告 的 第 四 个 好 处 。 
理解 公 钥 基础 设施 和 AD CS: 具有 内 部 的 PKI， 为 组 织 提 供 了 一 种 快速 高 效 的 证 书 颁 发 方法 。 有 许多 新 概念 需 
要 学 习 。AD CS 是 微软 的 PKI 实现 ， 实 现 它 需要 对 PKI 的 工作 原理 有 很 好 的 理解 。 
问题 会 司 正 在 准备 使 用 AD CS， 实 施 第 一 个 PKEI。 对 于 某 些 服务 器 ， 公 司 硕 望 目 动 部 署 证 书 。 提 供 上 自动 
证 书 部 署 需 要 哪些 基础 设施 组 件 ? 
答案 对 于 上 自动 证 书 部 署 ， 需 要 使 用 上 自动 注册 。 目 动 注册 需要 AD DS 和 Group Policy，GPO 是 目 动 证 书 
部 闭 方 法 。 
设计 的 规划 : 因为 PKI 是 环境 安全 的 一 个 重要 组 成 部 分 ， 应 该 花 额 外 的 时 间 计 划 和 设计 它 。 将 以 下 任务 作为 规 
划 和 设计 工作 的 一 部 分 : 
全 会 见 所 有 使 用 和 /或 依靠 PKI 的 各 种 团队 和 /或 部 门 。 了 解 他 们 的 使 用 计划 和 现 有 需求 。 了 解 他 们 未 来 几 年 的 
主要 工作 。 
分。 单独 会 见 信息 安全 团队 ， 来 收集 组 织 的 所 有 安全 需求 。 与 信息 安全 团队 人 合作， 了解 现 有 需求 如 何 映 射 到 
PKI 配置 。 在 开始 实现 之 前 ， 获 得 所 建议 的 配置 和 设计 的 批准 。 
令 ”在 实验 室 环境 中 部 置 PKI。 不 要 使 用 主要 实验 室 环境 ; 而 应 使 用 临时 的 实验 室 环境 ， 部 羞 完成 后 可 以 拆 返 
临时 环境 。 确 保 想 要 的 配置 起 作用 。 确 保 它 满足 所 有 需求 。 根 据 需 要 调整 设计 和 /或 配置 。 使 用 实验 室 部 
置 作 为 起 点 来 记录 实现 计划 。 如 有 可 能 ， 请 多 族 部 署 设 计 。 
然后 ， 当 准备 开始 实际 部 署 时， 首先 在 非 生 产 环 境 中 部 姥 最 终 设计 。 
倒 ”有 一 个 独立 的 PKI 安全 测试 和 支持 组 件 (例如 Active Directory)。 这 可 能 是 内 部 团队 在 项 目 早期 执行 的 安全 
测试 (例如 在 实验 室 环境 启动 并 运行 之 后 )。 一 旦 投入 生产 ， 请 考虑 使 用 外 部 的 安全 公司 对 生产 环境 进行 独 
并 的 安全 测试 。 
问题 有 一 个 客户 拥有 1500 名 员工 、300 台 服 务 器 和 一 个 现 有 的 Active Directory 环境 。 他 们 对 部 署 PKI 
很 感 兴趣 。 他 们 的 安全 要 求 是 一 般 水 平 ; 不 需要 高 安全 性 ， 但 比 小 型 企业 的 安全 性 高 一 些 。 基 于 这 些 有 限 
的 信息 ， 这 个 客户 适合 使 用 多 少 层 ? 
答案 ”在 这 个 场景 中 ， 应 该 部 四 一 个 双 层 层次 结构 。 使 用 离线 的 根 CA， 可 以 增强 安全 性 。 因 为 它 只 有 两 
层 ， 所 以 不 会 为 客户 引入 不 必要 的 复杂 性 。 单 层 层次 结构 最 适合 小 型 企业 ， 而 三 层 或 更 多 层次 结构 最 适合 
大 型 的 复杂 组 织 。 
实现 双 层 层次 结构 : 准备 为 公司 部 署 一 个 新 的 PKI。 现 有 的 安全 策略 没有 指定 哈 希 算法 或 最 小 密 钥 长 度 。 公 司 
需要 可 靠 的 安全 性 ， 但 不 会 影响 性 能 或 可 用 性 。 请 记 住 以 下 关于 密码 选项 的 展 好 实践 : 
令 ”尽量 使 用 密 钥 存储 提供 程序 (Key Storage Provider)。 它 提供 了 对 RSA 算法 的 访问 。 否则 ， 唯 一 的 选择 就 是 
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上 日 提供 程序 ， 不 能 在 模板 级 别 选择 算法 。 
令 ”考虑 最 小 密 钥 长 度 为 4096。 尽 党 许多 互联 网 和 供应 商 网 站 建议 最 小 密 钥 长 度 为 2048， 但 他 们 将 建议 更 新 
到 4096 只 是 时 间 问 题 。 现 在 就 使 用 4096， 可 以 帮助 实现 方案 在 未 来 顺利 实施 ， 且 不 影响 性 能 。 
令 ”阅读 算法 、 密 钥 长 度 和 提供 程序 的 大 量 可 用 文档 。 这 有 助 于 做 出 正确 的 设计 选择 。 
问题 复制 一 个 证 书 模 板 。 尝 试 更 新 Cryptography 选项 卡 ， 以 使 用 新 的 密 钥 存储 提供 程序 ， 但 该 选项 是 灰 
色 的 。 要 使 模板 能 够 使 用 密 钥 存储 提供 程序 ， 应 该 做 什么 ? 
管 架 ”在 这 个 场景 中 ， 需 要 更 新 复制 模板 中 的 兼容 性 设置 。 这 通常 是 复制 模板 后 的 第 一 步 ， 因 为 它 打 开 了 
大 多 数 新 特性 和 增强 的 安全 选项 。 一 旦 将 菩 容 性 设置 更 新 到 最 新 版 本 ， 就 可 以 更 新 模板 ， 以 使 用 密 钥 存储 
使 用 证 书 模板 : 要 定制 环境 ， 并 确保 它 符合 公司 的 安全 策略 ， 需 要 使 用 证 书 模 板 。 
问题 ”使 用 目 定 义 模板 而 不 是 内 置 模板 的 三 个 优点 是 什么 ? 
答案 ”使 用 目 定义 模板 有 很 多 优点 。 三 个 种 见 的 优点 包括 更 改 有 效 期 ， 将 证 书 上 发布 到 Active Directory， 以 
及 更 改 密 钥 长 度 、 提 供 程序 和 算法 等 加 密 选 项 。 
了 解 上 自动 注册 的 优点 : 目 动 注册 允许 目 动 完成 部 普 证 书 的 过 程 。 在 许多 组 织 中 ， 组 合 使 用 手动 证 书 部 普 ( 例 如 
用 于 内 部 Web 服务 右 ) 和 目 动 证 书 部 普 ( 例 如 用 于 所 有 域 控制 占 )。 
问题 “公司 正在 研究 目 动 注 册 ， 作 为 一 种 潜在 的 证 书 部 署 方法 。 目 动 注册 的 三 个 优点 是 什么 ? 
党 案 ” 目 动 注册 减少 了 同 用 户 和 计算 机 部 得 证 书 的 管理 开销 ， 提 高 了 证 书 部 羞 的 渗透 率 ( 成 功 获 得 证 书 的 
用 户 和 /或 计算 机 的 百分比 )， 减 少 了 与 部 普 相 关 的 人 为 错误 。 
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Active Directory 联合 服务 


Active Directory 联合 服务 (AD FS) 最 初 是 在 Windows Server 2003 R2 之 后 作为 附加 下 载 包 引入 的 。 它 是 官方 的 
AD FS 1.0。 它 的 功能 非常 有 限 ， 很 少 有 组 织 使 用 它 。 然 而 ， 微 软 从 它 开始 提供 基于 标准 的 联合 服务 和 基于 声明 的 
有 身份 服务 。 如 今 ，AD FS 已 经 被 广泛 部 署 ， 并 广泛 用 于 大 型 企业 环境 ， 与 Microsoft Azure 和 Office 365 联合 使 用 。 

就 像 本 书 中 的 其 他 一 些 大 主题 一 样 ，AD FS 可 以 占据 整 本 书 的 篇 幅 。 然 而 ， 本 章 关 注 设 计 和 部 普 AD FS 环境 
的 最 相关 的 方面 。 对 于 感 兴趣 的 人 员 ， 我 们 还 会 提供 到 外 部 材料 的 重要 链接 ， 以 帮助 这 些 人 员 深 入 研究 特定 的 目标 
领域 。 不 要 低估 了 这 些 链接 。 包 括 这 些 链 接 是 由 于 其 内 容 的 高 质量 和 它们 提供 的 额外 资源 。 


本 章 内 容 : 

仿 ”理解 AD FS 是 如 何 工 作 的 
售 J 了 解 AD FS 术语 

令 ”计划 和 设计 AD FS 

令 ”部 署 AD FS 环境 


11.1 AD FS 概述 


Active Directory 联合 服务 (AD FS) 是 一 种 Microsoft 里 份 联合 技术 ， 使 组 织 能 安全 地 与 其 他 组 织 共 圣 里 份 信息 ， 
从 而 在 不 同 的 应 用 程序 和 服务 之 间 提 供 无 颖 的 用 户 号 份 验 证 体验 。AD FS 与 现 有 的 Internet 标准 (如 WS-Federation 
和 SAML) 一 起 工作 ， 这 些 标准 广泛 用 于 各 种 平台 和 应 用 程序 。AD FS 有 时 称 为 STS( 安 全 令 牌 服务 )。 其 思想 是 ， 
AD FS 生成 用 户 用 于 访问 应 用 程序 和 服务 的 安全 令 脾 。 和 冉 份 验证 由 Active Directory 域 服 务 处 理 。 

AD FS 最 早 是 在 Windows Server 2003 R2 之 后 引入 的 。 随 后 ，AD FS 1.1 作为 Windows Server 2008 和 Windows 
Server 2008 R2 的 角色 发 布 。AD FS 2.0 作为 Windows Server 2008 和 Windows Server 2008 R2 的 可 下 载 安 装 版 本 发 
布 。 然 后 ， 在 Windows Server 2012 中 发 布 了 AD FS 2.1。 在 Windows Server 2012 R2 中 引入 了 AD FS 3.1。 今天 ， 
在 Windows Server 2016 中 ，AD FS 是 4.0 版 本 。 

对 于 没有 使 用 过 AD FS 或 身份 联合 服务 的 人 ,下面 回顾 一 下 AD FS 及 其 工作 原理 。 刁 份 联合 是 使 用 单个 身份 ( 例 
如 AD DS 域 中 的 用 户 名 /密码 ) 访 问 应 用 程序 和 服务 (如 Microsoft Word 的 在 线 版 本 ) 的 概念 , 无 论 它 们 是 部 署 在 本 地 ， 
还 是 部 四 在 男 一 个 组 织 的 设施 上 ,或 者 是 基于 云 的 。 如 果 浏 贤 互 联网 ， 上 朋 定 会 看 到 实际 中 使 用 的 号 份 联合 服务 。 例 
如 ， 可 使 用 Facebook 或 谷歌 凭证 登录 许多 不 相关 的 网 站 。 这 就 是 联合 身份 验证 。 从 公司 的 角度 看 ， 这 个 概念 也 适 
用 。 即 使 是 第 三 方 提供 资源 ， 使 用 企业 凭证 也 可 以 访问 企业 资源 (例如 企业 网 站 、 企 业 电 子 邮 件 账 户 、 基 于 云 计 算 
的 工资 系统 、 基 于 云 的 ERP 系统 )。 联 合身 份 验 证 提供 了 民 好 的 用 户 体验 ， 因 为 用 户 不 需要 在 各 种 系统 中 维护 用 户 
账户 。 

下 面 是 几 个 第 见 的 用 例 : 

微软 Office 365: 当 一 家 公司 订阅 Office 365 时 ， 在 验证 用 户 的 身份 方面 有 几 个 选择 。 这 里 不 会 讨论 所 有 选项 ， 
只 介绍 其 中 几 个 。 一 个 选项 是 为 每 个 用 户 创 建新 的 Azure Active Directory 用 户 账户 。 当 癌 Office 365 验证 用 户 身 份 
时 ,就 使 用 Azure Active Directory 用 户 账户 。 第 二 个 选项 是 将 本 地 用 户 及 其 密码 (不 是 实际 密码 , 但 这 里 进行 了 简化 ) 
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从 Active Directory 域 服务 (AD DS) 同 步 到 Azure Active Directory， 用 户 使 用 与 公司 资源 相同 的 用 户 名 和 密码 ， 这 简 
化 了 用 户 体验 。 第 三 种 选项 是 使 用 AD FS。 这 种 情况 下 ， 所 有 二 份 验证 都 是 在 公司 域 控 制 器 对 用 户 进 行 导 份 验证 的 
前 提 下 进行 的 。 用 户 使 用 他 们 的 公司 凭证 .用户 对 象 与 Azure Active Directory 同步 , 但 密码 不 需要 同步 (如 果 AD FS 
失败 ， 就 可 以 同步 密码 )。 关 注 安 全 的 公司 更 喜欢 使 用 AD FS 对 基于 云 的 资源 进行 身份 验证 ， 因 为 公司 控制 着 身份 
验证 。 这 意味 看 它们 还 维护 身份 验证 日 志 ， 并 且 可 以 使 用 所 有 现 有 的 安全 软件 、 策 略 和 过 程 来 管理 身份 。 注 意 ， 这 里 

村 意 去 除了 Azure Pass-Through Authentication and Single Sign-On， 以 保持 对 AD FS 的 关注 。 要 了 解 关 于 Offce365 的 
更 多 身份 选项 , 并 了 解 AD FS 是 如 何 适 应 的 , 请 访问 https://support.office.com/en-us/article/Understanding-Office-365- 


1dentity-and-Azure-Active-Directory-06al89e7-Sec6-4af2-94bf-a22ea223a7a9#bk tederated 。 


Salesforce: Salesforce 是 一 个 基于 云 的 SaaS( 软 件 即 服务 ) 客 户头 系 管理 平台 。 与 Office 365 一 样 ， 关 于 如 何 问 
Salesforce 验证 用 户 身 份 ， 有 几 个 选项 。 例 如 ，Salesforce 文 持 SAML。 通 和 常 选 择 的 是 使 用 单 点 登录 的 吴 份 联合 ， 
别 是 对 于 大 型 组 织 或 已 经 部 署 了 身份 联合 解决 方案 的 组 织 。 可 将 AD FS 配置 为 文 持 Salesforce 的 单 点 登录 (SSO)， 
允许 来 自 公 司 计算 机 的 用 户 在 登录 时 自动 同 Salesforce 进行 身份 验证 。 与 必须 管理 第 二 组 凭证 相 比 ， 可 以 很 容易 地 
看 出 ， 号 份 联合 如 何 为 公司 提供 了 有 价值 的 解决 方案 。 

如 何 使 用 AD FS 提供 对 共享 文件 夹 、Microsoft Exchange 或 SQL Server 的 访问 ? 这 是 不 可 能 的 。 使 用 技术 ， 可 
能 有 一 些 有 趣 的 方法 将 功能 合并 在 一 起 ， 以 获得 一 些 有 效 的 部 普 。 但 是 ，AD FS 本 吴 并 不 支持 典型 的 现 有 技术 所 需 
的 身份 验证 方法 。. 通 稼 , 传统 的 现 有 技术 需要 集成 的 Windows 身份 验证 。 应 用 程序 需要 Kerberos 或 NTLAN Manager 
(NTLM)。 然 而 ， 公 共 云 并 不 适合 集成 Windows 身份 验证 ， 因 为 目标 资源 通常 不 属于 同一 个 域 ， 用 户 经 党 使 用 与 任 
何 域 都 没有 连接 的 设备 ， 设 备 运行 各 种 非 Windows 操作 系统 。 

可 以 想象 ， 除 了 AD-FS 外 ， 还 有 其 他 选项 。 第 三 方 公司 提供 具有 类 似 功能 的 有 竞争 力 的 解决 方案 。 例如，Ping 
Identity 提供 了 PingOne， 这 是 一 种 基于 云 的 IDaaS( 映 份 即 服务 ) 解 决 方案 。 男 一 家 名 为 Okta 的 公司 提供 了 单 点 登录 
解决 方案 , 简化 了 应 用 程序 提供 过 程 ， 并 提供 了 多 端口 身份 验证 。 与 此 同时 ， 微 软 极 大 地 扩展 和 增强 了 Azure Active 
Directory Premium， 以 提供 云 中 的 身份 联合 。 它 提供 了 与 AD FS 相同 的 许多 功能 , 还 提供 了 大 量 相关 的 身份 功能 (如 
目 助 服务 密码 重 置 、 高 级 安全 报告 、 多 因素 喘 份 验证 和 身份 保护 )。 

要 了 解 Windows Server 2016 的 AD FS 有 什么 新 特性 ,请 查看 Microsoft Ignite 2016 中 的 “What's New in AD FS 
及 AD DS in Server 2016”， 网 址 是 https:Wchannel9.msdn.comyevents/Ienite/2016/BRK3074?term=Active%020Directory9%6 
20Federatlion%20Services%202.0。 


11.1.1 AD FS 术语 


许多 管理 员 从 来 没有 听 说 过 一 些 AD FS 术语 ， 这 些 术 语 在 过 去 几 年 发 生 了 变化 。 要 真正 理解 这 项 技术 ， 需 要 
很 好 地 掌握 术语 。 在 研究 AD FS 如 何 工作 之 前 ， 先 定义 用 户 应 该 了 解 的 关键 AD FS 术语 。 如 果 遇 到 不 了 解 的 术语 ， 
请 参考 本 章 的 表格 。 
表 11.1 显示 了 AD FS 术语 和 定义 。 
表 11.1 AD FS 术语 和 定义 
术 语 定 义 
该 公司 的 用 户 将 访问 支持 声明 的 应 用 程序 。 用 户 账户 通常 是 Active Directory 域 服务 中 的 用 户 对 
象 。 账 户 合作 伙伴 组 织 可 与 “声明 提供 者 ” 互 换 
由 联合 服务 器 发 出 的 关于 用 户 账户 的 特定 声明 。 声 明 可 以 是 电子 邮件 地 址 、 姓 名 或 其 他 身份 信息 。 
也 可 以 是 组 成 员 身 份 。 声 明 是 身份 验证 和 授权 请 求 的 基础 
声明 提供 者 该 公司 的 用 户 将 访问 支持 声明 的 应 用 程序 。 可 与 “账户 合作 伙伴 组 织 ” 互 换 
该 公司 托管 基于 声明 的 Web 应 用 程序 ， 并 依赖 客户 合作 伙伴 组 织 的 声明 。 这 个 术语 可 与 “资源 
合作 伙伴 组 织 ” 互 换 
依赖 方 信任 AD FS 配置 中 的 信任 对 象 ， 包 含 关 于 两 个 有 联合 信任 关系 的 公司 的 信息 
资源 合作 伙伴 组 织 承载 基于 声明 的 Web 应 用 程序 (资源 ) 的 公司 。 这 个 术语 可 与 “依赖 方 ” 互 换 


账户 合作 伙伴 组 织 


声明 


依赖 方 
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要 查看 与 AD FS 相关 的 完整 术语 列表 , 请 访问 https:/Wtechnetmicrosoft.comyen-us/library/cc7$4236(vV=wWs.11).aspx。 


11.1.2 AD FS 的 工作 原理 


AD FS 是 一 个 基于 声明 的 身份 验证 解决 方案 。 它 依赖 于 用 户 的 声明 。 声 明 由 用 户 数 据 组 成 ， 如 姓名 、 部 门 、 城 
市 和 组 成 员 时 份 。 当 用 户 进 行 导 份 验 证 时 ，AD FS 收集 关于 用 户 的 信息 ( 通 弟 来 目 Active Directory 域 服务 ， 也 可 以 
来 日 Active Directory 轻 量 级 目录 服务 、 数 据 库 或 XML 存储 )。 然 后 ，AD FS 作为 发 布 者 同 用 户 发 出 令 脾 。 该 令 有 牌 
被 发 送 到 基于 声明 的 应 用 程序 (如 Salesforce 等 基于 云 的 服务 )。 下 面 看 看 这 在 现实 世界 中 是 如 何 工作 的 。 下 例 介绍 
一 个 场景 : 用 户 来 到 一 个 度假 酒店 ， 走 癌 前 台 ， 开 始 办 理 入 住 手续 。 图 11.1 显示 了 决策 树 ， 以 及 在 度假 酒店 访问 期 
间 ， 刁 份 验证 和 授权 是 如 何 工作 的 。 


发 放 房 间 
钥匙 ， 授 


请 出 示 你 
了 下 了 吗 ? 有 年 
的 身份 证 Re 


11.1 酒店 访问 决策 树 


以 下 是 酒店 访问 的 步骤， 从 “开始 ”图 标 开始 : 

(1) 用 户 一 进 酒店 ， 就 去 登记 处 ， 那 里 的 工作 人 员 询 问 如 何 给 他 们 提供 帮助 。 用 户 说 想 住 进 酒店 。 登 记 处 服务 
员 要 求 用 户 出 示 身 份 证 。 这 就 开始 了 身份 验证 过 程 。 

(2) 用 户 出 示 映 份 证 。 登 记 处 服务 员 要 做 几 项 检查 : 

令 ”身份 证 上 的 照片 看 起 来 像 是 眼前 的 用 户 本 人 吗 ? 

争 “ 刁 份 证 看 起 来 是 真 的 吗 ? 

令 ”这 个 人 的 年 龄 是 否 和 从 合 入 住 酒店 的 最 低 要 求 ? 

(3) 如 果 身 份 证 通过 了 测试 ， 身 份 验证 就 完成 了 (由 图 11.1 中 的 数字 1 表示 )。 即 使 身份 验证 成 功 ， 也 不 能 进入 
酒店 房间 。 如 果 喘 份 证 未 能 通过 一 次 或 多 次 检查 ， 喘 份 验 证 融会 失败 ， 工 作 人 员 可 能 要 求 用 户 离开 或 呼叫 保安 。 

(4) 接 下 来 ， 服 务 员 会 检查 用 户 是 否 预定 了 房间 ， 以 及 是 否 付 了 定金 。 如 果 没 有 预定 房间 ， 服 务 员 会 检查 是 否 
有 空房 ， 收 取 必 要 的 费用 ， 然 后 给 用 户 发 放 房 则 钥匙 。 如 果 用 户 已 经 预定 了 房间 ， 并 付 了 定金 ， 服 务 员 就 会 给 用 户 
发 放 房 间 钥匙 。 这 表示 授权 成 功 (由 图 11.1 中 的 数字 2 表示 )。 

(5) 一 旦 用 户 完成 了 身份 验证 和 授权 ， 台 可 以 去 房间 ， 享 用 酒店 的 各 种 设施 。 如 打 想 在 酒店 的 一 个 餐厅 用 餐 ， 
可 选用 手中 的 酒店 钥匙 (授权 ) 来 支付 餐 费 。 房 间 钥 是 就 像 AD FS 中 的 一 组 声明 (在 AD FS 中 ， 不 是 获取 钥匙 ， 而 是 
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获取 安全 令 牧 )。 酒 店 给 用 户 发 放 了 钥匙 。 餐 厅 信 任 发 布 者 (在 本 例 中 是 酒店 )， 因 此 他 们 不 必 执 行 目 己 的 身份 验证 或 
授权 (但 如 果 情 况 可 疑 ， 他 们 可 以 选择 再 次 验证 和 /或 授权 )。 第 二 次 授权 在 图 11.1 中 标记 为 数字 3。 

接 下 来 ， 看 看 这 个 过 程 流 是 如 何 使 用 基于 声明 的 Web 应 用 程序 和 AD FS 的 。 在 下 例 中 ， 两 个 公司 有 联合 信任 
关系 ， 每 个 公司 都 有 AD FS 环境 。 公 司 1( 声 明 提供 者 或 账户 合作 伙伴 组 织 ) 的 用 户 在 公司 2( 依 赖 方 或 资源 合作 伙伴 
组 织 ) 中 使 用 基于 声明 的 Web 应 用 程序 。 图 11.2 显示 了 过 程 流 。 


用 户 使 用 集成 公司 1 的 AD 
windows 身 份 人 和 


验证 对 公司 1 向 到 | 从 可 2 
的 AD FS/AD DS 人 


进行 喘 份 验证 


Web 服 务 前 

授予 对 Web 

应 用 程序 的 
访问 权限 


允许 用 户 访 会 司 1 的 用 户 访 公司 2 的 AD FS 服 
问 Web 应 用 问 会 司 2 中 基于 务 毅 重 3 


程序 声明 的 Web 定 问 到 公司 1 的 发 送 到 公司 2 
应 用 程 友 AD FS 环境 的 AD FS 


Web 服 务 带 将 公司 2 的 联合 

用 户 重 定向 到 服务 器 将 用 户 

公司 2 的 AD FS 重 定 向 到 Web 
服务 器 服务 器 


用 户 回 Web 


服务 硕 出 示 
安全 令 牌 


图 11.2 ”基于 声明 的 Web 应 用 程序 的 决策 树 


注意 图 11.2 和 图 11.1 之 间 的 相似 之 处 。 图 11.1 表示 酒店 的 访问 者 ， 图 11.2 显示 了 有 具有 联合 信任 关系 的 环境 中 
的 Web 应 用 程序 访问 者 。 通 过 跟 踩 过 程 流 可 以 看 到 ， 有 几 个 重 定 同 可 以 让 用 户 访问 Web 应 用 程序 。 下 面 描述 了 该 
过 程 的 要 反 : 
令 ”对 于 图 11.2 中 的 机， 用 户 最 初 访问 的 是 Web 应 用 程序 。Web 应 用 程序 检查 用 户 的 令 牌 是 否 有 效 。 例 如 ， 
如 果 用 户 之 前 已 经 通过 了 身份 验证 过 程 , 并 在 访问 为 一 个 网 站 之 后 返回 到 同一 个 浏览 器 窗口 ,用户 可 能 
然 拥 有 有 效 的 令 和 脾 。 如 果 用 户 没 有 有 效 的 令 牌 ， 则 重 定 回 进程 开始 。 第 一 个 重 定 癌 将 用 户 发 送 到 公司 2 
的 AD FS 联合 服务 器 。 当 AD FS 联合 服务 器 看 到 用 户 来 目 公 司 1 时 ， 它 会 发 出 一 个 重 定 阿 ， 让 用 户 局 动 
公司 1 环境 的 身份 验证 过 程 。 
令 ”对 于 图 11.2 中 的 过 ， 用 户 开 始 重 定 同 回 公司 1 的 环境 。 用 户 最 终 通过 集成 Windows 身份 验证 对 公司 1 的 
AD FS / AD DS 环境 进行 身份 验证 。 回 用户 发 出 安全 令 牌 。 此 后 ,用户 重 定 同 回 公司 2 的 AD FS 环境 ， 出 
示 安 全 令 牌 。 
令 ”对 于 图 11.2 中 的 妇 ，Web 服务 器 验证 安全 令 牌 ， 问 用 户 授予 访问 权限 。 由 于 联合 信任 ， 公 司 2 信任 由 公 
司 1 发 出 的 安全 令 牌 。 用 户 现在 可 以 目 由 使 用 Web 应 用 程序 。 
要 了 解 关于 AD FS 概念 的 更 多 信息 ， 包 括 声 明 过 程 的 详细 信息 ， 请 参见 “Understanding Key AD FS Concepts ”， 
网 址 是 https://docs.microsoft.conyen-us/Wwindows-server/identity/ad-fs/technical-reference/understanding-key-ad-fs-concepts。 
现在 完成 了 AD FS 的 概述 ， 下 面 研 究 开 始 在 环境 中 实现 AD FS 之 前 需要 完成 的 一 些 规 划 和 设计 考虑 事项 。 


11.2 ”规划 及 设计 考虑 


在 部 署 AD FS 环境 之 前 ， 需 要 进行 规划 和 设计 。 在 高 级 别 ， 规 划 设 计 工 作 应 包括 以 下 任务 : 
获取 实现 方案 的 功能 性 和 非 功 能 性 需求 : 功能 需求 是 指 技 术 应 该 实现 特定 功能 的 需求 。 例 如 ， 功 能 需求 可 能 蚌 
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“便于 Internet 上 的 用 户 对 Web 应 用 程序 进行 身份 验证 ”。 非 功能 性 需求 是 插 述 实现 方案 应 该 如 何 执行 的 需求 。 例如 ， 
AD FS 部 蜀 的 非 功能 性 需求 可 能 是 “提供 99.99% 的 正常 运行 时 间 ” 或 “提供 站 点 弹性 ”。 在 知道 项 目的 需求 之 前 ， 
不 可 能 做 很 多 计划 和 设计 。 这 些 需 求 将 帮助 确定 是 否 需 要 高 可 用 性 、 站 点 弹性 或 IT 基础 结构 更 改 。 

执行 发 现 操作 : 在 发 现 过 程 中 ， 查 看 现 有 环境 。 对 于 AD FS 实现 方案 ， 需 要 查 明 是 否 存在 现 有 的 AD FS 实现 ， 
或 者 AD FS 是 否 苦 代 了 执行 类 似 功 能 的 另 一 个 产品 。 还 需要 了 解 AD FS 依赖 哪些 技术 ， 或 它 与 哪些 技术 集成 在 一 
起 。 这 意味 着 需要 查看 Active Directory 域 服务 环境 、DNS、 公 钥 基 础 设施 、SQL Server、 网 络 连 接 、 防 火 墙 和 负载 
平衡 器 。 需 要 找 出 它们 正在 运行 的 版 本 ， 各 种 服务 的 位 置 ， 以 及 它们 是 健康 的 还 是 处 于 下 降 状 态 。 

计划 和 设计 : 一 旦 有 了 需求 ， 并 完成 了 一 个 发 现 操 作 ， 束 可 以 开始 计划 和 设计 了 。 目 标 是 找 出 需要 哪些 组 件 ， 
需要 多 少 组件 ， 以 及 需要 把 它们 放 在 哪里 。 但 也 必须 说 明 所 有 细节 。 例 如 ， 使 用 哪些 版 本 ? 以 何 种 顺序 部 普 这 些 技 
术 ? 这 些 先决 条 件 存 在 吗 ? 需要 多 少 人 来 执行 这 个 实现 方案 ? 什么 时 候 能 完成 这 项 工作 ? 需要 对 环境 进行 哪些 更 
改 (网 络 、 防 火 墙 、 负 载 平 衡 、DNS、 操 作 系 统 更 改 等 )， 才 能 确保 实现 方案 正常 工作 ? 

对 于 AD FS 实现 方案 ， 有 一 些 关键 决策 需要 在 部 普 之 前 做 出 。 现 在 介绍 其 中 一 些 决 策 的 关键 考虑 要 点， 和 草 所 
讨论 服务 、 数 据 库 、 证 书 和 服务 账户 的 位 置 。 


11.2.1 应 该 将 AD FS 组 件 放 在 哪里 ? 


对 于 AD FS 实现 方案 ， 需 要 密切 关注 组 件 的 位 置 。AD FS 服务 器 (特别 是 联合 服务 器 ) 应 该 被 视 为 局 域 网 上 其 他 
关键 的 安全 服务 器 (如 域 控 制 器 和 证 书 颁 发 机 构 服 务 器 )。 应 该 将 联合 服务 器 部 车 到 局 域 网 中 ， 并 确保 它们 不 直接 连 
接 到 Internet( 或 直接 从 Intemet 中 访问 )。 为 了 最 大 化 环境 的 安全 性 ， 应 该 在 外 围 网 络 中 部 罩 Web 应 用 程序 代理 (Web 
Application Proxy，WAP) 服 务 器 。WAP 服务 器 应 该 处 理 来 目 Internet 的 所 有 通信 ， 并 安全 地 代理 到 联合 服务 器 的 有 
效 通 信 。 图 11.3 显示 了 一 个 典型 的 AD FS 部 署 以 及 一 些 支 持 基 础 设施 。 


有 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 上 


AD FS 联合 服务 器 


局 域 网 


A 


Internet < 


图 11.3 AD FS 基础 设施 图 


AD FS 联合 服务 器 : 图 11.3 显示 了 两 个 服务 器 ， 它 们 提供 了 站 点 内 的 高 可 用 性 。 在 多 站 点 环境 中 ， 通 常 在 男 
一 个 站 点 中 人 至少 有 两 个 服务 器 来 提供 站 操 弹 性 。 需 要 的 服务 器 数量 基于 容量 需求 。 请 注意 联合 服务 器 的 位 置 ， 它 在 
局 域 网 中 ， 并 通过 防火 墙 与 外 围 网 络 隔 离 。 


AD DS: AD DS 域 用 域 图 标 (三 角形 ) 表 示 ， 且 只 在 局 域 网 络 中 表示 。AD FS 联合 服务 器 连接 到 域 。 
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Web 服务 器 : Web 服务 器 表示 具有 基于 声明 的 Web 应 用 程序 的 服务 器 。 这 种 应 用 程序 通 沼 在 局 域 网 中 。 然 而 ， 
这 样 的 应 用 程序 也 可 在 外 围 网 络 或 公共 云 网 络 中 。 

Web 应 用 程序 代理 集群 : Web 应 用 程序 代理 集群 显示 在 外 围 网 络 中 。 这 是 最 第 见 的 位 置 。 它 们 通过 防火 墙 与 联 
合 服务 器 隔 开 。 也 通过 防火 墙 与 互联 网 隐 开 。 在 某 些 组 织 中 ， 使 用 相同 的 防火 墙 将 WAP 服务 右 与 联合 服务 器 和 互 
联网 隔 开 。 在 高 度 安 全 的 环境 中 ， 第 使 用 不 同 的 防火 墙 分 隔 它 们 。 一 个 可 选 的 布局 是 将 WAP 服务 器 放 在 局 域 网 中 ， 
在 外 围 网 络 中 使 用 基于 网 络 的 安全 设备 作为 Internet 通信 的 初始 接触 点 。 

在 规划 期 间 ， 需 要 考虑 项 目 需 求 和 基础 设施 的 特征 。 并 不 是 每 个 实现 都 必须 遵循 图 11.3 所 示 的 模型 。 


11.2.2 是否 应 该 为 AD FS 数据 库 使 用 SQL Server? 


AD FS 需要 一 个 数据 库 。 这 有 了 两 个 选择 : 使 用 SQL Server 或 使 用 Windows 内 部 数据 库 (WID)。 如 果 决 策 完全 基 
于 容量 ， 就 很 简单 : 

令 ”如 果 场 中 的 AD FS 服务 器 少 于 30 个 ， 依 赖 方 信任 对 象 少 于 100 个 ， 就 使 用 WID。 

令 ”如 果 场 中 的 AD FS 服务 器 多 于 30 个 ， 依 赖 方 信任 对 象 多 于 100 个 ， 束 使 用 SQL Server。 

但 可 以 想象 ， 事 情 并 没有 那么 简单 。 除 了 容量 ， 还 必须 考虑 功能 : 

令 WID 不 支持 SAML 人 工 决 议 。 该 特性 使 SAML 断言 在 通信 过 程 中 更 难 修改 ， 从 而 提高 了 安全 性 。 

令 ”WID 不 支持 SAML / WS-Federation 令 牌 重 放 检 测 。 令 牌 重 放 检 测 在 高 安全 性 环境 中 用 于 删除 重 放 令 牌 请 

令 ”WID 不 支持 数据 库 复 制 ， 所 以 一 些 服务 器 承载 数据 库 的 只 读 副本 ， 得 到 数据 库 读 / 写 副本 的 更 新 。 

令 ”WID 不 支持 高 可 用 性 ， 如 故障 转移 集群 等 。 

还 必须 考虑 一 些 更 小 的 工作 。 例如 ,使 用 WID 时 ， 每 个 联合 服务 器 都 有 一 些 额 外 的 工作 要 做 : 管理 和 维护 AD 
FS 数据 库 的 副本 更 改 。 对 于 SQL Server， 这 是 在 联合 服务 器 之 外 处 理 的 。 

除了 技术 容量 和 能 力 ， 还 有 “现实 世界 ”需要 考虑 的 事情 。 例 如 ， 许 多 公司 都 有 其 IT 技术 的 标准 。 对 于 数据 
库 ， 公 司 可 能 有 一 个 标准 : 所 有 数据 库 都 使 用 官方 数据 库 标 准 ， 如 SQL Server。 一 些 公司 希望 数据 库 团队 管理 所 有 
数据 库 。 通 过 使 用 SQL Server， 这 些 公司 可 以 使 用 标准 配置 ， 使 用 数据 库 安全 和 管理 软件 ， 最 大 限度 地 提高 效率 。 
公司 从 一 开始 就 直接 部 署 到 SQL Server， 而 不 是 让 应 用 程序 团队 部 署 和 管理 他 们 自己 的 数据 库 ( 并 在 发 生 灾 难 性 故 
障 时 ， 通 知 数据 库 团队 )。 通 常 ， 具 有 数据 库 标准 的 公司 已 经 构建 了 高 可 用 性 、 站 点 弹性 的 数据 库 环境 ， 具 有 高 可 
用 的 企业 存储 和 安全 。 因 此 ， 即 使 最 初 使 用 的 AD Fs 可 与 WID 一 起 使 用 ， 在 这 类 公司 中 是 合适 的 选择 吗 ? 可 能 不 
是 ， 应 使 用 SQL Server。 


11.2.3 AD FS 环境 有 哪些 证 书 选项 ? 


在 部 羞 中, 需要 用 于 客户 机 通信 的 证 书 、 令 脾 签名 证 书 、 令 牌 解密 证 书 和 服务 通信 证 书 。 在 计划 和 设计 过 程 中 ， 
有 许多 事情 需要 考虑 。 下 面 的 要 点 概述 了 关键 的 注意 事项 以 及 帮助 指导 实现 的 信息 。 

令 ”可 使 用 内 部 PKI 环境 中 的 证 书 或 第 三 方 证 书 。 当 使 用 内 部 PKI 时 ， 外 部 方 通 稍 不 信任 证 书 。 因 此 ， 需 要 
完成 额外 的 工作 来 实现 这 种 信任 。 大 多 数 环境 中 ， 通 第 使 用 第 三 方 证 书 。 默 认 情 况 下 ， 它 们 是 值得 信赖 的 ， 
而 公司 往往 更 信赖 第 三 方 证 书 ， 而 不 是 来 目 私 人 CA 的 证 书 。 对 于 Office 365 的 AD FS 实现 ， 必 须 使 用 第 三 
方 证 书 。 其 他 类 似 的 情况 也 是 如 此 ， 所 以 在 规划 设计 工作 期 间 ， 与 供应 商 一 起 进行 检查 是 很 重要 的 。 

令 ”可 使 用 通配符 证 书 。 如 果 不 熟 悉 通配符 证 书 ， 它 是 与 指定 域 的 任何 完全 限定 域名 FEFQDMN) 相 关联 的 证 书 。 
例如 ， 对 于 contoso.com 域 ， 通 配 符 证 书 对 于 www.contoso.com、sts.contoso.com 和 ftp.contoso.com 是 有 效 
的 。 标 准 证 书 对 单个 域名 (例如 sts.contoso.com) 有 效 。SAN 证 书 对 多 个 域名 有 效 。 使 用 通配符 证 书 的 主要 
好 处 是 不 必 考 虑 证 书 的 名 称 一 一 所 有 名 称 都 与 通配符 证 书 一 起 工作 。 使 用 通配符 证 书 的 缺点 是 , 一 些 提供 
者 只 允许 公司 在 每 个 域 拥 有 一 个 通配符 证 书 。 而 公司 可 能 希望 将 其 保存 下 来 ,用 于 其 他 用 途 ， 而 不 是 用 于 
AD FS。 通 配 符 证 书 也 比 标准 证 书 和 SAN 证 书 更 昂贵 。 一 些 公 司 有 禁止 使 用 通配符 证 书 的 策略 。 因 此 ， 
对 于 某 些 环境 ，SAN 证 书 是 最 好 的 选择 。 

令 ”可 在 联合 服务 器 和 Web 应 用 程序 代理 服务 器 中 使 用 一 个 证 书 ( 涵 盖 所 有 四 个 证 书 使 用 情形 )。 这 简化 了 部 音 
和 持续 的 维护 。 如 有 可 能 ， 争 取 使 用 一 个 包含 环境 所 有 名 称 的 证 书 。 高 安全 性 组 织 可 能 有 一 个 安全 策略 ， 


第 11 章 Active Directory 联合 服务 | 273 


茶 止 在 局 域 网 中 的 服务 器 和 外 围 网 络 中 的 服务 器 之 间 共 至 证 书 。 这 种 情况 下 , 可 为 内 部 服务 器 获得 一 个 证 
书 ， 为 外 围 服务 右 获 得 男 一 个 证 书 。 


11.2.4 应 该 为 AD FS 环境 使 用 组 管理 的 服务 账户 吗 ? 


每 个 AD FS 都 需要 一 个 服务 账户 。 作 为 设计 和 计划 的 一 部 分 ， 需 要 弄 清楚 是 要 使 用 组 党 理 的 服务 账户 (gMSA) 还 
是 标准 的 服务 账户 (在 Active Directory 中 手动 创建 的 )。 在 了 解 这 些 选项 的 优 缺 点 之 前 ， 请 注意 不 应 该 使 用 网 络 服务 账 
户 。 如 果 这 样 做 ， 可 能 会 在 Windows 集成 身份 验证 期 间 遭 遇 失 败 。 以 下 要 点 概述 了 AD FS 服务 账户 的 主要 注意 事项 。 
令 ”如 果 使 用 标准 的 服务 账户 ， 必 须 党 理 密码 (密码 存储 在 库 或 类 似 的 地 方 ， 并 在 到 期 之 前 更 改 密码 )。 在 一 些 
组 织 中 ， 服 务 账户 有 非 过 期 的 密码 。 然 而 ， 在 高 安全 性 的 环境 中 ,通常 有 一 个 安全 策略 ， 来 限制 或 茜 止 使 
用 非 过 期 服务 账户 的 密码 。 

令 ”如 果 使 用 gMSA， 就 不 必 管 理 密码 。 它 由 Active Directory 管理 。 默 认 情 况 下 ， 密 码 每 30 天 更 改 一 次 。 如 
有 必要 ， 可 以 配置 不 同 的 密码 更 改 频率 。 密 码 更 改 的 目 动 化 通常 足以 作为 使 用 gMSA 的 理由 。 通 常 ， 对 IT 
常理 员 来 说 ， 利 用 效率 方面 的 微小 改进 ， 可 节省 大 量 资源 。 

对 于 大 多 数 环境 , 使 用 gMSA 是 很 不 错 的 ,然而 ,在 最 终 确定 设计 之 前 ,要 注意 先决 条 件 。 需 要 将 Active Directory 
森林 功能 级 别 设置 为 Windows Server 2012 或 更 高 版 本 ， 将 运行 Windows Server 2012 或 更 高 版 本 的 服务 器 设置 为 使 
用 gMSA， 以 及 Active Directory( 用 于 生成 gMSA 的 密码 ) 中 的 Key Distribution Services (KDS) 根 密 钥 。 如 果 环 境 不 
满足 需求 ， 就 应 该 了 解 ， 更 新 环境 以 支持 gMSA 是 否 与 AD FS 实现 同时 完成 或 先 于 该 实现 完成 。 

要 了 解 关于 AD FS 的 更 多 信息 , 请 参考 AD FS 内 容 映 射 , 其 中 有 大 量 的 AD FS 内 容 链 接 , 用 于 将 AD FS 与 特 
定 技术 集成 到 各 种 环境 中 。 更 多 信息 请 访问 https://social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs- 


content-map.aspXe 


11.3 部署 AD FS 环境 


本 节 讨 论 部 署 AD FS 的 过 程 。 应 该 在 实验 室 环境 中 (无 论 是 在 家 里 还 是 在 工作 中 ) 通 过 这 些 步骤 来 熟悉 这 个 过 程 ， 
并 了 解 部 署 选项 。 作 为 先决 条 件 ， 需 要 有 Active Directory 域 服务 和 DNS 名 称 解 析 。 本 节 之 后 的 部 署 部 分 将 以 本 节 
为 基础 。 下 面 的 要 点 表示 步 又 中 的 环境 。 请 替换 自己 的 域名 和 计算 机 名 称 ， 或 者 使 用 这 里 显示 的 实验 室 名 称 。 
全 ” 现 有 Active Directory Domain Services 域 contoso.com 。 
全 ”在 Windows Server 2016 上 运行 的 虚拟 机 adfsVM。 
令 ”用 于 15360x8640.com 域 的 pf 格式 的 证 书 文件 。 这 是 一 个 测试 域 ， 也 是 示例 应 用 程序 使 用 的 域 。 在 环境 
中 ， 可 以 使 用 单个 域 ， 也 可 以 选择 两 个 域 ， 就 像 本 例 这 样 。 


11.3.1 安装 AD FS 服务 器 角色 


按照 以 下 步骤 安装 AD FS 服务 器 角色 : 

(1) 作为 域 管理 员 组 的 成 员 登 录 adfsVM。 

(2) 在 adfsVM 上 运行 Windows PowerShell。 

(3) 在 PowerShell 窗口 中 ， 运 行 以 下 命令 ， 创 建 Key Distribution Services KDS 根 密 钥 : 


Add—KdsRootKey -EffectiveTime (Get-Date) .AddHours (一 0U) 


不 要 绕 过 KDS 根 密 钥 等 待 期 
默认 情况 下 ， 添 加 根 密 钥 最 多 需要 10 个 小 时 。 建 议 不 要 绕 过 生产 环境 中 的 初始 等 待 期 。 但 在 本 例 中 这 样 做 ， 
允许 在 部 署 AD FS 时 立即 使 用 GMSA。 在 添加 KDS 根 密 钥 之 后 ， 应 该 立即 强制 进行 复制 。 


(4) 作为 域 管理 员 组 的 成 员 登 录 adfsVM。 

(5) 单 击 Start， 然 后 单 击 Server Manager。 

(6) 单 击 Manage， 在 下 拉 有 华 单 中 单 击 Add Roles and Features。 

(7) 如 果 Before You Begin 页 面 出 现 ， 选 择 Skip This Page By Default 复 选 枉 ， 然 后 单 击 Next。 
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(8) 在 Select Installation Type 页 面 上 上， 确保 选中 Role-Based Or Feature-Based Installation 选项 ， 并 单 击 Next。 
(9) 在 Select server roles 页 面 上 ， 确 保 选 择 了 ADFSVM 并 单 击 Next。 
(10) 在 Select server roles 页 面 ( 见 图 11.4) 中 ， 单 击 Active Directory Federation Services 复 选 框 ， 然 后 单 击 Next。 
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L | Network Policy and Access Services 
|] Print and Document Services 
| | Remate Access 
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[ ] Volume Activation Services 
[ |] Web Server (I[S) 


图 11.4 添加 AD FS 角色 


(11) 在 Select Features 页 面 上 ， 单 击 Next。 

(12) 在 Active Directory Federation Services(AD FS) 页 面 上 ， 单 击 Next。 

(13) 在 Confirm Installation Selections 页 面 上 ， 选 择 Restart The Destination Server Automatically If Required 复 选 
框 。 在 提示 确认 时 单 击 Yes， 然 后 单 击 mstall。 等 待 安装 完成 。 

(14) 安装 完成 后 ， 在 Installation Progress 页 面 上 单 击 Configure The Federation Service On This Server。 这 将 局 动 
Active Directory 联合 服务 配置 癌 导 。 

(15) 在 Welcome 页 面 ( 见 图 11.3) 上 ， 确 保 选 择 了 Create the first federation server in a federation server farm 选项 ， 
并 单 击 Next。 


高 Active Directory Federation Services Configuration Wizard 和 


W | TARGET SERVER 
eICOME adfsVIM.contoso.com 


Welcome 
Welcome to the Actmve Directory Federation Services Configuration Wrzard. 


Connect to AD DS 

specify Service Properties Before you begin configuration, you must have the following: 
si | 1 i = bb .= i 

specify Service Account * An Actmve Directory domain administrator account. 


例证 二 司 | W 可 E - 本 ~ 
specify Database *" A publichy trusted certificate for SSL server authentication. 


AD Fs prerequisites 


select an option below: 
Create the first federation server in a federation server farm 


人 hdd a federation server to a federation server farm 


Configunng sign-in to Office 3637 Exit ths wrzard and use Azure Actve Directory Connmnect, 


| < Prewiaus Configure | | cancel | 
图 11.5 AD Fs 配置 向 导 
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(16) 在 Connect To AD DS 页 面 上 ， 如 果 显 示 了 管理 凭证 并 具有 可 接受 性 ， 则 接受 默认 设置 并 单 击 Next。 否 则 ， 
单 击 Change， 提 供 管 理 任 证， 然后 继续 。 
(17) 在 Specify Service Properties 页 面 ( 见 图 11.6) 上 ， 单 击 Import。 


让 Active Directory Federation Services Configuration Wizard 


. 有 TARGET SERVER 
9pecify Service Properties adfsVIM comiosourom 


Welcome 
Connect to AD Ds 5 Certificate: 
Specify Service Properties 
Federation Serwice Name: 


Example: .contoso.com 


Federation Semvice Drisplay Name: 
Users will see the display name at sign in. 


Example: Contoso Corporattion 


Configure Carncel 


图 11.6 导入 证 书 


(18) 导航 到 *.p 人 x 文件 的 位 置 ， 该 .p 人 x 文件 包含 AD FS 场 要 使 用 的 证 书 的 密 钥 对 中 的 私 钥 ( 见 图 11.7)， 并 单 击 
Upen。 

当 出 现 提示 时 ， 提 供 保 护 私 钥 的 密码 并 单 击 OK。 注 意 ， 在 部 署 完 联 合 服务 器 后 ， 应 该 安全 地 删除 .p 你 文件 。 

(19) 回 到 Specify Service Properties 页 面 ， 指 定 Federation Service Name 和 Federation Service Display Name， 然 
后 单 击 Next。 在 环境 中 , 使 用 fs.15360x8640.com 作为 联合 服务 名 称 ，Contoso Corporation 作为 显示 名 称 ( 见 图 11.8)。 


启 Open xX 
c v 小 自 > ThisPC ， Documents Pp 
OQrganize ™ New folder 日 := 3 


a 


3 Name Date mod'ified Type 


i Desktop 对 
Downloads 直 民 15360x8640-cert.pfx 6y/18/2017 汪 15 AM Personal Infd 
图 Deocuments 赴 

本 


恒 | Pictures 


国 This PC 
Nl Desktop 


| 司 Documents 
» Downloads 
小 WusIc 


于 | Pictures 
硬 Videos 
:3 Local Disk (C:) 


二 Temporary $tora 
Y < 


File name: | 15360x8640-cert,pfx v | | Personal Information Exchange ~ 
ee 


图 11.7 文件 资源 管理 器 
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i Active Directory Federation Services Configuration Wizard 


: : TARGET SERVER 
Specify Service Properties adfsVM.contoso.com 


5 二 | Certificate: 可, 守卫 人 有 54D0corm 


View 


Federation Semvice Name: 付 1 53360x8640,.com 


Example: .contosocorm 


Federation service Display Name: Contoso Corporation 
Users will see the display name at sign Im。 


Example: Contoso Corporation 


Configure 


图 11.8 指定 名 称 
(20) 在 Specify Service Account 页 面 ( 见 图 11.9) 上 ， 单 击 选中 Create a Group Managed Service Account 选项 ， 指 
定 要 创建 的 Managed Service Account 组 名 ， 然 后 单 击 Next。 如 果 没 有 提前 创建 eMSA， 就 可 以 创建 新 的 gMSA。 昌 
然 可 以 创建 、 使 用 标准 服务 账户 , 但 最 好 使 用 gMSA。 它 确保 账户 密码 由 Active Directory 管理 ， 从 而 减少 管理 开销 。 
启 Active Directory Federation Services Configuration Wizard 


E 2 TARGET SERVER 
Specify Service Account adfsVM .contoso.com 


Walcome 


Lonnect to AD D'S 


specify a domain user account or group Managed Service Account, 


(全 | Create a Group Managed Service Account 
specity Service Propertles 


specify Service Account | Account Name: CONTOSON |emsa-adfs-01| | 


四 三 iT Datatace pr 二 - = 
specify Database () Use an existing domain user account or group Managed $ervice Account 


Review Options ; 
Account Name: <Not prowded> Elect. 


Pre-reaquisite Checks 


Configure Cancel | 
图 11.9 AD FS 服务 账户 


(21) 在 Specify Configuration Database 页 面 上 , 确保 选中 Create A Database To Store The Active Directory Federation 
Services Configuration Data 选项 ， 然 后 单 击 Next 按钮 。 内 部 数据 库 应 只 能 用 于 开发 或 小 规模 安装 。 如 果 计 划 在 大 型 
或 高 度 可 用 的 环境 中 使 用 此 功能 ， 则 应 该 使 用 SQL Server 数据 库 来 存储 AD FS 配置 数据 。 

(22) 在 Review Options 页 面 ( 见 图 11.10) 上 ， 阅 读 配 置信 息 以 确保 它 符合 需求 。 然 后 单 击 Next。 
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高 Active Directory Federation Services Configuration Wizard xX 


TARGET SERVER 
adfsVM.contoso.com 


Review Options 


Walcome Review your selections: 


connect to AD Ds This server will be configured as the Primary server in a new AD FS farm 'fs.15360x8640.com. 


specify Service Properties AD FS configuration will be stored in Windows Internal Database， 
Specity Service Account 
td Windows Internal Database feature will be installed on this senver If tt is not already installed. 
specify Database 
A group Managed Sermvice Account CONTOSO\gmsa-adfs-01$ will be created if it does not 


Review Options . 
already exist and this host will be added as a member, 


Pra-reguisite Checks 
Federation service Will be configured to run as CONTOSO\gmsa-adfs-01$. 


These settings can be exported to a Windows PowerShell scnpt to automate 


additonal installations 


Configure 


11.10 AD FS Review Options 页 面 


(23) 在 Pre-requisite Checks 页 面 ( 见 图 11.11) 上 ， 检 本 是 否 满 足 所 有 先决 条 件 ， 然 后 单 击 Configure。 此 时 可 能 
显示 关于 KDS 根 密 钥 的 警告 ， 但 可 以 放心 地 忽略 它 。 

(24) 等 到 配置 完成 ， 检 查 结 果 ， 然 后 单 击 Close。 

(25) 在 Installation Progress 页 面 上 ， 单 击 Close。 

(26) 重新 启动 adfsVM 来 完成 安装 。 

前 面 经 部 普 了 第 一 个 联合 服务 器 ， 现 在 需要 处 理 一 些 DNS 解析 任务 。 


后 Active Directory Federation Services Configuration Wizard 这 


TARGET SERVER 


adisVhM.contoso.corm 


Pre-requisite Checks 


All prerequisite checks passed successfully, Click ‘Configure’ to begin installation, Show more 其 


Welcome 
Prerequrtsites must be validated before Active Directory Federation Services ts configured on th 
Connect to AD DS computer. 


specify Service Properties RErun prerequrstes check 

specify Service Account 

specify Database 已 is 

Review Options ,The root key for the group Managed Service Account Was created at 7/A4/2017 1:06:36 AM. 
f you have more than one domain controller in your Active Directory forest, the key may 
nat yet have replicated to all domain controllers and therefore the service may not 
successfulhy install or start. To avoid semvice startup problems, wait 10 hours to ensure the 
key has replicated to all DCs before completing the Actwve Dinectory Federation Services 
Configuration Wizard, executing Install-AdfsFarm or Add-AdfsFarmNode on any other 
servers in Your netyvork, or restarting any AD FS service,. 

0 Prerequisites Check Completed 


Pre-requisite Checks 


| All prerequisite checks passed successfully. Click Configure’ to begin installation. 


图 11.11 AD FS Pre-requisite Checks 页 面 


部 署 清单 
要 深入 了 解 联合 服务 器 场 的 部 署 ， 请 查看 Deploying a Federation Server Farm 页 面 上 的 清单 和 和 链接， 网 址 是 
https://docs.microsotft.com/en-us/Windows-server/identity/ad-1s/deployment/deploy-a-feder-serverfarm. 
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11.3.2 ”配置 内 部 DNS 名 称 解析 


接 下 来 ， 为 Web 应 用 程序 创建 专用 的 DNS 区 域 。 如 果 将 Web 应 用 程序 托 窟 在 与 AD DS 域 相同 的 域 中 ， 那 么 
这 可 能 与 环境 无 天 。 

如 果 通 过 第 三 方 为 域 托管 DNS， 也 可 遵循 创建 DNS 记录 的 一 般 步 又。 注意 对 一 个 名 为 appVM 的 新 VM 的 引 
用 。 该 VM 将 承载 Web 应 用 程序 。 如 果 在 环境 中 继续 执行 ， 可 为 Web 应 用 程序 部 站 VM， 并 将 一 个 记录 指 问 该 服 
务 器 。 

(1) 作为 域 管理 员 组 的 成 员 登 录 到 adVM。 

(2) 运行 DNS Manager。 

(3) 在 DNS Manasger 控制 台中 , 导航 到 Forward Lookup Zones 文件 夹 , 右 击 它 , 然后 单 击 New Zone( 见 图 11.12)。 
这 将 局 动 New Zone Wizard。 


Narme Type atus DNSSEC Status Key Master 
7 _msdes.con 50.C0m hctnre Drectory=Integrated Pr,.. Runnin Not Signed 
se Betnve Lirectery-Integrated Pr Runnin Not Signed 


“| | Forward Lookup Zones 


» 局 _mMmsdcs.ce 


图 11.12 在 DNS 管理 器 中 添加 新 区 域 


(4) 在 Welcome To The New Zone Wizard 页 面 上 ， 单 击 Next。 

(5) 在 Zone Type 页 面 上 ， 接 受 默 认 设置 并 单 击 Next。 

(6) 在 Active Directory Zone Replication Scope 页 面 上 ， 接 受 默 认 设 置 并 单 击 Next。 

(7) 在 Zone Name 页 面 上 ， 键 入 15360x8640.com 并 单 击 Next。 

(8) 在 Dynamic Update 页 面 上 ， 接 受 默 认 设置 并 单 击 Next。 

(9) 在 Completing the New Zone Wizard 页 面 上 ， 单 击 Finish 。 

(10) 在 DNS Manager 控制 台中 ， 右 击 新 创建 的 区 域 ， 并 单 击 New Host(A 或 AAAA)。 

(11) 在 New Host 窗口 ( 见 图 11.13) 中 ， 使 用 adfsVM 的 内 部 IP 地 址 为 镶 创建 一 个 新 记录 (在 环境 中 ，IP 地 址 是 
10.0.1.4)。 

(12) 添加 为 一 个 记录 ， 其 中 包含 appVM 的 内 部 卫 地 址 (在 环境 中 ， 卫 地 址 是 10.0.2.4)。 

现在 有 了 名 称 解析 ， 就 配置 一 个 基于 声明 的 示例 应 用 程序 。 


New Host 


Name (uses parent domain name if blank): 


Fully qualified domain name (FADN): 
人 ,15350x8640.com, 


IP address: 


恕 ,0,1 


[JEreate assocated pointer (FTR) record 


[jw any authenticated user to update DNS records with the 
same OWnNer name 


ca 
图 11.13 创建 新 主机 
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11.3.3 ”配置 示例 联合 应 用 程序 


本 节 要 配置 一 个 简单 的 .NET 4.5 示例 联合 应 用 程序 。 这 个 应 用 程序 是 由 Microsoft Consulting Services 提供 的 ， 
可 免费 下 载 并 用 于 测试 。 本 节 的 先决 条 件 是 本 重 前 面部 普 的 联合 服务 器 和 上 一 节 中 配置 的 名 称 解 析 。 

(1) 作为 域 管 理 员 组 的 成 员 登 录 到 appVM。 

(2) 在 appVM 上 ， 以 管理 员 刁 份 运行 Windows PowerShell ISE。 

(3) 在 PowerShell ISE 窗口 中 ， 运 行 如 下 命令 : 

Install-WindowsFeature -Name Web-Server, Web-App-Dev, Webp-Net-ExXt425， Web-Asp-Net42， 


Web—-Maqmt—Tools,Web—Moamt—Console,NET-Framework-42-Features, NET-ETamewoOTK 一 45-Corey NETFramew 
ork—-45-ASPNET,RSAT-—-AD-—PowerShell 一 RestaLrt 


这 将 安装 示例 应 用 程序 需要 的 所 有 角色 服务 和 功能 ， 并 在 需要 时 重新 局 动 服务 器 。 
(4) 等 待 安 装 完 成 。 
(5) 在 PowerShell ISE 窗口 中 ， 运 行 如 下 命令 : 


New-ADUser -Name Svc AppPool 
-AccountPassword (ConvertTo-SecureSstring ~AsPlainText “Payw.rdl234" 


-Force) -Company Contoso -Description "App Pool Account™ DisplayName 
SvC AppPool -Enabled Strue -PasswordNeverExpires strue -SamAccountName 
SVC APPPool -UserPrincipalName SVC AppPool@contoso.com 


这 将 创建 一 个 新 的 域 用 户 ， 该 用 户 用 于 为 运行 示例 应 用 程序 的 AppPool 提供 安全 上 下 文 。 
(6) 在 Administrator: Windows PowerShell ISE 窗口 中 ， 运 行 如 下 命令 : 
Add-LocalGroupMember -Group IIS IUSRS -Member CONTOSO\SvC AppPool 

这 将 把 新 建 的 用 尸 添 加 到 服务 器 上 的 本 地 IIS IUSRS 组 。 

(7) 从 如 下 网 址 下 载 示 例 应 用 程序 : 


https://msdnshared.blob.core.windows.net,/media/ 
TNBl1ogsFS/prod.evol .blogs.technet.com/telligent.evolution.components 
.attachments/01/8598/00/00/03/64/54/88/SampApp®20and$20Rules .zip, 


(8) 从 存档 文件 中 提取 SampleApp， 并 将 其 复制 到 Cinetpubvwwwroot 文件 夹 中 。 
(9) 在 PowerShell 窗口 中 ， 运 行 如 下 命令 : 
Invoke-Command 一 ComputerName adtsVM 


-Contoso.com -SCcrlIPtBLocKk {Get-AdfsCertifijcate -CertifijcateType IToken 一 
Signing | Select-Object -ExpandProperty Thumbprint} 


这 会 显示 AD FS 令 牌 签名 证 书 的 Thumbprint。 


令 牌 答 名 的 证 书 
注意 ， 这 与 在 IIS 中 使 用 的 通配符 证 书 的 Thumbprint 不 同 。 此 证 书 严格 用 于 在 AD FS 中 进行 令 牌 签名 ， 且 有 
单独 的 Thumbprint。 


(10) 将 Thumbprint 复制 到 剪贴 板 上 。 

(11) 在 PowerShell 窗口 中 ， 运 行 如 下 命令 : 

Notepad C:\inetpub\wwwroot\SampApp\Web.config 

(12) 在 记事 本 中 搜索 Thumbprint。 会 得 到 三 个 结果 。 用 剪贴 板 的 内 容 替 换 “Thumbprint=” 后 面 双 引 号 中 的 值 。 
密 钥 必须 与 AD FS 服务 器 的 令 牌 签名 证 书 匹 配 。 

(13) 在 记事 本 中 搜索 appl.contoso.com， 并 将 其 蔡 换 为 appVM.15360x8640.com。 就 像 thumbprint 一 样 ， 必 须 小 
心地 办 换 每 次 出 现 的 内 容 ， 人 否则 会 在 导航 到 应 用 的 URL 时 收 到 一 条 错误 信息 。 

(14) 用 fs.15360x8640.com 葵 换 每 次 出 现 的 sts.contoso.com 。 

(15) 保存 更 改 ， 并 关闭 记事 本 。 

(16) 在 Administrator: Windows PowerShell 窗口 中 ， 运 行 如 下 命令 : 


Notepad C:\inetpub\wwwroot\SampApp\FederationMetadata\2007-06\FederationMetadata .xml 
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(17) 在 Notepad 中 ， 用 appVM.15360x8640.com 蔡 换 app1.contoso.com 。 

(18) 保存 更 改 并 关闭 记事 本 。 

(19) 启动 mtemet Information Services (IIS) Manager 控制 台 。 

(20) 在 控制 台中 ， 单 击 Application Pools。 然 后 右 击 DefaultAppPool 并 选择 Advanced Settings ( 见 图 11.14)。 


a Internet Infcnmation Services (IS) lanager 


EAPPYIM } Application Pools 


File Vies Help 
入- 辐 | 委 | 聊 9 Application Pools 


| a a Page -一 5 This page lets you view ard manage the lst of application poodls onthe server. 

APPVM (CONTOSO\Administrator | Application pools are associated with worker processes, contain one or more Application pool Tasks 
0 Application Pools applications, and provide isolation among different applications, pe 

5 -|[ 画 | Sibes 


pe 有 a 9 
人 Pdd brpheahan Peal... 


-tApplhcation Pocl Letaults, 


Filter: "二 50 7 Show A | Group by 


Mame abus NET CLR VV, Managed Pipel,., ldentity 
说 .NET .3 Wated 0 Inteqgrated hpplicationpeolld... 
后 .NET .5 Classic 3 市 Ed 唱 ， lassic LpplicationPoalld,.. 
L onEoo = 
国 Add Application Pool.., 
Et Application Pool Lefaults:.., 
Start 
1 top 
= Recyche... 
| Basic Settings,... 
Recyclinag... 
Blvared Settings.. 
Remame 


Rermowre 


Whew Applications 


县 Help 


时 


于 Features Wievs Conmtbent Wiews 


11.14 Application Pools 设置 


(21) 在 Advanced Settings 对 话 框 中 ， 单 击 Identity， 然 后 单 击 Application Pool Identity 右 侧 的 省 略 号 (…)。 在 
Application Pool Identity 对 话 框 中 ， 单 击 选 中 Custom account， 然 后 单 击 Set( 见 图 11.15)。 


ov (Generan 

Application Pool ldentity 

DO Built-in aceount 
ApplicationP oolldentity 


人 二) Custom account: 


Cancel 


一 一 


» GenerateProcesslylodel EventL 
ldentity ApplicationPoolldentity 
ldle Tirme-out (minutes) 20 


___ ldle Time-out Action_ Terminate _ 
ldentity 
[identityType, usermame, password] Configures the application pool to run 


as buikt-in account, le, Application Pool ldentity (recommended), Netvwork 
Service, Local System, Local Sernice, or as a specific user identity. 


Cancel 


图 11.15 IIS Manager Application Pool Identity 页 面 


(22) 在 Set Credentials 对 话 框 中 ， 指 定 在 本 练习 中 前 面 创建 的 域 用 户 的 和 凭证， 然后 单 击 两 次 OK。 
(23) 在 Advanced Settings 对 话 框 中 ， 将 Load User Profile 设置 为 Trme 并 单 击 OK。 

(24) 在 控制 台中 ， 展 开 Default Web Site 节点 ， 右 击 SampApp， 然 后 单 击 Convert To Application 。 
(25) 在 Add Application 对 话 框 中 ， 接 受 默认 设置 ， 然 后 单 击 OK。 
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(26) 回 到 控制 台 ， 单 击 Default Web Site 节点 ， 然 后 单 击 Actions 窗 格 中 的 Bindings。 

(27) 在 Site Bindings 对 话 框 中 ， 单 击 Add。 

(28) 将 通配符 证 书 (*.15360x8640.com) 导 入 appVM 上 计算 机 的 Personal 存储 。 

(29) 在 Add Site Bindings 对 话 框 中 ， 将 Type 设置 为 https， 将 Host name 设置 为 appVM.15360x8640.com， 单 击 
Select 按钮 ， 单 击 要 使 用 的 证 书 ， 然 后 单 击 OK( 见 图 11.16)。 


Add Site Binding 


Type IP address 


https “| |All Unassigned We 


Hoes name: 


appVIM.15360x8640.comn | 


[DD Require Server Name Indication 


9 certificate: 
* 15360xB640,com 


图 11.16 Add Site Binding 对 话 框 


(30) 在 Site Bindings 对 话 框 中 ， 单 击 Close。 

(31) 单 击 Default Web Site， 然 后 单 击 Actions 窗 格 中 的 Restart。 根 据 服务 器 的 不 同 ， 单 击 Restart 看 起 来 并 没 
有 什么 作用 。 还 可 以 在 命令 提示 符 中 运行 iisreset 命令 ， 重 新 启动 IS( 重 启 时 给 出 确认 信息 )。 

部 署 了 示例 Web 应 用 程序 后 ， 需 要 配置 一 个 AD FS 依赖 方 。 


11.3.4 配置 AD FS 依赖 方 


本 节 将 配置 一 个 AD FS 依赖 方 。 这 允许 Web 应 用 程序 接受 来 自 声明 提供 者 的 声明 。 
(1) 作为 域 党 理 员 组 的 成 员 登 录 adfsVM。 
(2) 在 adfsVM 中 ， 如 有 必要 ， 从 如 下 网 址 下 载 示例 应 用 程序 。 


https://msdnshared.blob 

.Core.windows.net/media/TNBl1ogsFS/prod.evol .blogs.technet.com/telligent 

.evolution.components.attachments/01/8598/00/00/03/64/54/88/SampApp%®20 

and®%20Rules.z1p 

(3) 从 .zip 文件 的 SampleApp 和 Rules 子 文件 夹 中 提取 IssuanceAuthorizationRules.txt 和 IssuanceTransformRules.txt， 
并 复制 到 Ci\。 

(4) 在 adfsVM 上 ， 以 管理 员 刁 份 运行 Windows PowerShell ISE。 

(5) 在 PowerShell ISE 提示 和 从 下 ， 运 行 如 下 命令 : 

Add-AdfsRelyingPartyTrust Name 

"Sample Claims Aware Application”" ~lIssuanceAuthorizationRulesFile 

C:\IssuanceAuthorizationRules.txt -IssuanceTransftormRulesFile C:\ 

IssuanceTransformRules.txt -MetadataUTr1 "https://appVvM.15360x8640 .com/ 

sampapp/federationmetadata/20071-06/federationmetadata.xml" 

这 将 创建 代表 示例 应 用 程序 的 依赖 方 。 

(6) 检查 AD FS 控制 台中 的 Relying Party Trusts 文件 夹 ， 以 验证 依赖 方 是 否 成 功 创建 。 

配置 了 依赖 方 后 ， 就 可 以 测试 对 Web 应 用 程序 的 访问 了 。 


11.3.5 ”从 内 部 客户 端 测试 对 应 用 程序 的 访问 


本 市 将 从 局 域 网 测试 示例 应 用 程序 ， 以 确保 其 功能 正确 。 
(1) 在 adfsVM 上 局 动 Internet Explorer。 
(2) 在 Internet Explorer 中 ， 将 https://*.15360x8640.com 添加 到 本 地 内 部 网 专区 ( 见 图 11.17)。 
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Internet Options 


Local Intranet 


Local intranet 


You can add and remove websites from this zone. All websites im 
this zone will use the zone's security settings, 


Add this website to the zone: 


11.17 ”Intermet Explorer 本 地 内 部 网 区 域 


(3) 接 下 来 浏览 到 https://appvm.15360x8640.com/SampApp/， 并 验证 页 面 是 否 显 示 了 当前 用 户 的 声明 列表 ( 见 
图 11.18)。 


总 = 昌 总 | 是 上 iime-amwaneSamplEAPP 基 | 


Windows Identity Foundation .NET 4.5 Samp 


Claims-aware Sample App. Claims-aware sample app 


HICONTOSOM Administrator! 
BALbove you can SEE the narme of sn authenticated user, Belo you Car see the clalrms that were issued In the security token 
Your claims 


lasuer Originallssuer Type 

https/schemas microsoft com/ws/2014/0 Nidentity/ daims/anchorclaimty! 
https/schemas misoap.nrg/ws/2005/05/identity/claims/implicitupn 
https/schemas migosoft com2015/12/devricecontent/dlaims/tokenbindin 
httpy/schemas miorosoft comyclaims/autinmethodsproviders 

https/ fs, 15360xB640.com/adis/services/trust http//schemas xmlsoap.org/ws/2005/05/identity/claims/apn 
itps/schemas microsoft com/ws/2008/06/ dentity/ daims/primarygroups 
phere neoN Eon YWA2 OOO DRO mI 
py/re 1 5304. cordts /nervees unt| Wnpe Ns 15990E A.conodtsfseices /wus | Nepeanarmas weoop orgIr /200 SDS Hideniiy /eimalnome 

https/ /fs, 15360w8640.com/adis/services/trust http://schemas microsoftcomyvs/2008/06/identity/ claims/windowsaccou 
p/hemas maoeolu onl/aunmet do lere ne 
httpyfschemasmiaosoftcomydaimsyauthnmethodsreferences 

hpy/ 人 15360x8640.corVadfyservicesytrust| https//fs 1536048640conyadfsservicesytrust| http//schemas microsoft comws/2008/06/identity/daims/groupsd 


En 证 轩 下 BRE CR i 


Ea he 


11.18 ”应 用 程序 Web 页 面 示 例 
前 面 在 局 域 网 中 为 用 户 提供 了 一 个 实用 的 Web 应 用 程序 。 接 下 来 部 署 一 个 Web Application Proxy 服务 器 ， 以 方 
便 用 户 使 用 来 目 Internet 的 Web 应 用 程序 ( 它 也 可 用 于 内 部 用 户 )。 
11.3.6 ”安装 Web Application Proxy 服务 器 角色 服务 


本 节 部 署 WAP 服务 器 。 该 服务 器 通 稍 部 署 在 外 围 网 络 中 。 对 于 本 闻 ， 需 要 一 个 名 为 wapVM 的 新 VM 来 托管 
WAP 角色 。 
(1) 作为 本 地 管理 员 登 录 到 wapVM。 
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(2) 以 常理 员 身 份 运行 Windows PowerShell ISE 。 

(3) 在 Administrator: Windows PowerShell ISE 窗口 中 ， 运 行 certlm 命令 ， 打 开 Certificates-LocalComputer 控制 台 。 

(4) 在 控制 台中 ， 右 击 Personal 文件 夹 ， 单 击 All Tasks， 然 后 单 击 Import。 这 将 启动 Certificate Import Wizard。 

(5) 在 Welcome To The Certificate Import Wizard 页 面 上 ， 单 击 Next。 

(6) 在 File To Import 页 面 上 ， 单 击 Browse。 

(7) 在 Open 对 话 框 中 ， 浏 览 到 *.p 仅 文件 的 位 置 ， 单 击 它 ， 然 后 单 击 Open。 

(8) 返回 File To Import 页 面 ， 单 击 Next。 

(9) 在 Private Key Protection 页 面 上 ， 键 入 保护 私 钥 的 密码 ， 然 后 单 击 Next。 

(10) 在 Certificate Store 页 面 上 ， 接 受 默认 设置 并 单 击 Next。 

(11) 在 Completing The Certificate Import Wizard 页 面 上 ， 单 击 Finish 。 

(12) 如 果 导 入 成 功 ， 会 显示 一 个 对 话 框 ， 通 知 导 入 成 功 。 单 击 OK。 注 意 ， 在 部 署 WAP 服务 器 后 ， 应 该 安全 
地 删除 .pf 文件 。 

(13) 在 wapVM 上 ， 单 击 Start， 然 后 单 击 Server Manager。 

(14) 单 击 Manage， 然 后 单 击 Add Roles And Features。 

(15) 如 果 Before You Begin 页 面 出 现 ， 单 击 Skip This Page By Default 复 选 杠 ， 然 后 单 击 Next。 

(16) 在 Select Installation Type 页 面 上 ,确保 选择 了 Role-Based Or Feature-Based Installation 选项 , 然后 单 击 Next。 

(17) 在 Server Destination Server 页 面 上 ， 确 保 选 中 了 wapVM， 然 后 单 击 Next。 

(18) 在 Select server roles 页 面 上 ， 单 击 Remote Access 复 选 框 ， 然 后 单 击 Next( 见 图 11.19)。 

(19) 在 Select Features 页 面 上 ， 单 击 Next。 

(20) 在 Remote Access 页 面 上 ， 单 击 Next。 

(21) 在 Select Role Services 页 面 上 ， 单 击 Web Application Proxy。 这 将 显示 男 一 个 对 话 框 ， 提 示 添 加 Web 应 用 
程序 代理 角色 所 需 的 功能 。 单 击 Add Features， 然 后 单 击 Next。 

(22) 在 Confirm Installation Selections 页 面 上 ， 选 择 Restart The Destination Server Automatically If Required 复 选 
框 ， 在 提示 确认 时 单 击 Yes， 然 后 单 击 Install。 等 待 安装 完成 。 


局 Add Roles and Features Wizard 


DESTINATION SERVER 


Select server roles wapNM 


Before You Beain Select One or more roles to install on the selected server. 


Installation Type Roeles Description 


>ErVEr SEIeCHON | L | Active Directory Lightweight Directory Services A Remote Access provides seamless 
server Roles Dj Active Directory Rights Management Services connectivity through DirectAccess, 
| [| Cevicee Health Attestation VPN, and Web Application Proxwy. 
Features 口 DHCP Server DirectAccess provides an Always On 
器 ] DNS Server and Always Managed expenence. 
加 _ Li| Fax Server RAS provrdes traditional YPN 
Role Services 加 File and Storage Services (1 of 12 installed) services, including site-to-site 
L| Hest Guardian Service (branc h-office or cioud-based) 
DD Hyper-V conmectivity. Web Application Proxy 
Lj| MultiPomt Services enables the PY bhishing of salected 
器 ] Network Controller RU and HTTPS=based 
L] Network Policy and Access Services applications from your corporate 
器 print and Document Services network to Client devices outside of 
the corporate network. Routing 
器 Remote Desktop Services provides traditional routing 
回 Volume Activation Services capabilities, including NAT and other 
DD Web Server (llS) connectvity options, RAS and 
LL Windows Deployment Services Routing can be deployed in single- 
DL Windows Server Essentials Experience tenant or multi-tenant mode， 
LDL] Windows Server Update Services 


hemaote Access 


[sa 
图 11.19 添加 角色 


(23) 安装 完成 后 , 在 Installation Progress 页 面 上 单 击 Open the Web Application Proxy 同 导 。 这 将 局 动 Web Application 
Proxy Configuration Wizard( 见 图 11.20)。 
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又 5 Web Application Prowy Configuration Wizard 


BESTINATION SEmWER 


Welcome i 


Web Application Prowy is a Remete Access service used to publish web applications that end users can 
ee interaet with from any deviee. lt alss provides proxy funetionality fer Actve Directory Federation Sennees 
Federation Server [AD FS) to help system administrators provide secure atcess to an AD FS 5erver By using Web Application 
Proxy, system administrators can choose how end users should authenticate themselves to a web 
applicaton and which users are authonzed to use a web application, 


< Prenous Configure 
图 11.20 ”启动 向 导 


(24) 在 Welcome 页 面 上 ， 单 击 Next。 

(25) 在 Federation Server 页 面 ( 见 图 11.21) 上 ， 将 Federation service name 设置 为 fs.15360x8640.com， 在 联合 服 
务 器 上 提供 管理 员 账 户 的 赁 证， 然后 单 击 Next。 

(26) 在 AD FS Proxy Certificate 页 面 ( 见 图 11.22) 中 ， 选 择 在 本 练习 前 面 导 入 的 证 书 并 单 击 Next。 

(27) 在 Confirmation 页 面 上 ， 单 击 Configure。 

(28) 等 待 配 置 完成 , 查看 操作 的 详细 结果 , 然后 单 击 Close。 这 将 目 动 打开 Remote Access Management Console( 见 
图 11.23)。 

现在 就 有 了 WAP 服务 器 。 接 下 来 ， 需 要 发 布 Web 应 用 程序 ， 以 便 通 过 WAP 服务 器 访问 它 。 

微软 提供 了 建立 WAP 服务 器 的 清单 。 访 问 如 下 网 址 ， 可 查看 关于 此 主题 的 检查 表 和 附加 内 容 的 链接 : 

https://docs.microsott.com/en-us/server/identity/ad-fs/deployment/checklist-setup-up-a-ftederation-server-proXy 。 

We Web Application Promy Configuration Wirard 


DESTINATION SERVER 


Federation Server wapVM 


Select the Active Directory Federation Services (AD FS) server to use for Web Application Prasy 
authentication and authornization, 
| Federation Server 


AD FS Prowy Certificate Federation service narmme: 


fs.15460m86d40 .com 


Enter the credentials of a local administrateor account on the federation servers, 


User rarme: 


Administrator 


password: 


| 雪 融 生硬 量 串 二 大 唱 二 而 串 


Configure | 
图 11.21 Federation Server 页 面 
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和 Web Applicatian Prowy Configuration Wzard 


DESTINATION SERVER 


AD FS Proxy Certificate wapyM 


Walcome Select a certificate to be used by the AD FS proxy: 


和 2 下 “15360x8640.com 
AD FS Prowy Certificate 


confirmmation 


| Configure 
图 11.22 选择 证 书 


Ey Remote hecess Management Console 
地 困 

一， 

Ti Configuration PUBLISHED WEB APPLIGATIQNS 


Web Application Prowy 站 中 published web applications | 0 total | Seneral 
publish 


| Cperations Status 
Refresh 


No web oppticotions ore Covrently published. To publsh a web 
opelication, eltck Publish 


Last Refresh On T/AAOTN?Y T0341 Ph 


图 11.23 Remote Access Management Console 窗口 


11.3.7 ”发 布 示例 联合 应 用 程序 


本 节 将 发 布 Web 应 用 程序 。 

(1) 在 wapVM 上 ， 在 RemoteAccess Management 控制 台 ， 单 击 Tasks 窗 格 中 的 Publish。 这 将 局 动 Publish New 
Application Wizard。 在 Welcome 页 面 上 ， 单 击 Next。 

(2) 在 Preauthentication 页 面 上 ， 接 受 默 认 选 项 Active Directory Federation Services(AD FS) 并 单 击 Next。 

(3) 在 Supported Clients 页 面 上 ， 接 受 默 认 选 项 Web 和 MSOFBA， 并 单 击 Next。 

(4) 在 Relying Party 页 面 上 ， 选 择 Sample Claims Aware Application 并 单 击 Next( 见 图 11.24)。 

(5) 在 Publishing Settings 页 面 上 ， 将 名 称 设置 为 Sample Claims Aware Application， 并 将 External URL 设置 为 
https://appVM.15360x8640.com/SampApp/。 对 于 外 部 证 书 ,选择 在 appVM 上 安装 的 证 书 。 接 受 默 认 设 置 Backend server 
URL (匹配 External URL)， 然 后 单 击 Next( 图 11.25)。 

(6) 在 Confirmation 页 面 上 ， 单 击 Publish。 

(7) 在 Results 页 面 上 ， 应 该 收 到 一 条 消息 ， 表 明 应 用 程序 已 成 功 发 布 。 单 击 Close。 

发 布 了 示例 Web 应 用 程序 后 。 接 下 来 ， 在 外 部 客户 机 上 测试 对 Web 应 用 程序 的 访问 。 
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BB publish New Application Wizard 


Relying Party 


Wercome 
Preautnentication 


supported Clients 


和 Publish New Application Wizard 


Select the AD FS rebyng party for this app licatione 


月 


Sample Clamms ware Application 


| 


图 11.24 Relying Party 页 面 


Publishing Settings 


Weleeme 
Pieauthentication 
supported Cllenits 
pelying Party 
Fublishing Settings 


confirmation 


pecity the publishing settings for this web application, 


Marne: 
samiple Clalms Aware Boplication 


This name will sppesr in thve list of publiahed web applicationas 


External URL: 


DNNECTED TO 好 区 
15530.com 


CANNECTED TO AD FS 
全 1 306 com 


https/ appr hl.153608i40.com'sampApp| 


External certicate: 
* 15360wB6A0 com 


[| Enable HTTP tw HTTPS redirection 


Backernd server URL: 


hittps PP 15300m840 com SampAppr 


11.25 ”Publishing Settings 页 面 


11.3.8 ”测试 来 自 外 部 客户 端的 应 用 程序 访问 


本 节 将 在 外 部 客户 机 (例如 连接 到 Internet 的 客户 机 ) 上 测试 对 样 例 应 用 程序 的 访问 。 这 个 测试 的 先决 条 件 是 客 
户 机 。 在 环境 中 ， 使 用 一 个 名 为 clientVM 的 Windows 10 虚拟 机 。 

(1) 以 本 地 管理 员 身 份 登录 到 clientVM。 

(2) 在 clientVM 上， 右 击 Start 并 单 击 Windows PowerShell (Admin)。 

(3) 在 Administrator:Windows PowerShell 窗口 中 ， 运 行 如 下 命令 : 

Notepad c:\Windows\ system32\drivers\etc\hosts 

(4) 在 Notepad 中 ， 同 主机 文件 中 添加 表示 wapVM 和 appVM 的 外 部 IP 地 址 的 条 目 : 


<public IP address> fs.15360x8640 .com 


<public IP address> appVvM.1360x8640 .com 


将 当前 使 用 的 公共 IP 地 址 苦 换 为 <public IP address>。 注 意 ， 在 实际 环境 中 ， 要 依赖 clientVM 使 用 的 DNS 服 
务 器 的 名 称 解析 。DNS 服务 器 能 够 将 15360x8640.com 名 称 空 间 中 的 Internet 可 访问 名 称 解 析 为 相应 的 公共 了 P 地 址 。 


(5) 保存 更 改 并 关闭 记事 本 。 
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(6) 启动 Internet Explorer， 并 浏览 到 https://appVM.15360x8640.com/SampApp/。 此 时 应 重 定向 到 Contoso Corporation 
的 身份 验证 页 面 ， 如 图 11.26 所 示 。 


-0 | 


Contoso Corporation 


Sign im with your organizational account 


| | 


Password 


Sigrn in 


BB 16 Micrasstt 


11.26 身份 验证 页 面 


(7) 指定 在 内 部 测试 期 间 使 用 的 相同 凭证 ， 然 后 单 击 Sign-in。 
(8) 验证 已 经 成 功 地 进行 了 身份 验证 ( 见 图 11.27)。 


二 ， ; [ES httpa//appvm 1 5 和 OBE ， 已 = 曙 筷 | 党 Claims-aware Sample App 其 | Li € | 


AAWI [aa ir EAalnAda+1] i KE 了 


Claims-aware Sample App. Claims-aware sample app 


HIiCONTOSO\Administrator! 
Above you can see the name of an authenticated user. Below you can see the claims that were issued in the security token. 


Your claims 


lssuer Originallssuer Type 
https//schemasxmlisoap.org/ws/2005/05/'dentity/claims/implictupn 
httpy/fs 15360x8640Dcormadfs/services/trust https//schemasmicrosoft .com/claims/authnmethodsproviders 
httpy/schemas microsoft.com/ws/2014/01/identity/ claims/anchorclaimty 
ee 
RAR 
httpr /fs. 15360x8640,.com/adfs/services/trust | http://schemas.microsott,.com/ws/2008/06/identity/ claims/primarysid 
i 
https /fs.15360s86AN com/adfs/services/tnust hitps//schemas.micmsoftt.com/ws/2008/06/identity/ claims/windowsarco 
hittp: fs. 15360x8640,.com/adis/sennces/trust| hitpe /fis. 15360m8640,.com/adfs /services/trust| httpe /schemas.microsotft,.coomclamsauthnmethodsreferences 


11.27 示例 应 用 程序 页 面 


可 以 轻松 地 定制 AD FS 登录 页 面 ， 以 与 组 织 的 标准 保持 一 致 。 可 以 更 新 标识 、 图 片 和 登录 页 面 的 其 他 区 域 。 
有 关 和 定制 登录 页 面 的 更 多 信息 ， 请 访问 如 下 网 址 : https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/ 


operations/ad-fs-user-slgDnln-customlzation 。 


11.4 本 草 要 品 


理解 AD FS 如 何 工 作 , 理解 AD FS 术语 : 当 组 织 第 一 次 部 普 AD FS 时 , IT 部 门 的 许多 人 员 都 需要 熟悉 该 技术 ， 
了 解 它 如 何 工 作 ， 并 了 解 它 如 何 与 网 络 上 的 其 他 技术 集成 。 拥 有 AD FS 的 高 级 知识 ， 可 以 帮助 收集 项 目 需求 ， 并 
为 组 织 设计 合适 的 AD FS 环境 。 除 了 负责 AD FS 的 管理 员 之 外 ， 其 他 团队 也 需要 了 解 AD FS( 即 使 只 是 基本 了 解 )。 
例如 ， 网 络 团队 必须 了 解 AD FS 是 如 何 通信 的 ， 它 使 用 的 协议 和 端口 ， 以 及 它 与 哪些 其 他 服务 进行 交互 。 数 据 库 
团队 必须 了 解 SQL Server 需求 和 期 望 。 
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问题 “公司 实现 了 一 个 新 的 AD FS 环境 。 该 公司 计划 为 多 个 合作 伙伴 公司 提供 一 个 支持 声明 的 Web 应 用 

程序 。 应 该 创建 哪 种 类 型 的 信任 关系 来 联合 每 个 合作 伙伴 ? 

答案 ”托管 资源 的 公司 (在 本 例 中 ， 是 合作 伙伴 公司 的 Web 应 用 程序 ) 是 依赖 方 (或 资源 合作 伙伴 组 织 )。 要 

与 合作 伙伴 联合 ， 需 要 为 每 个 合作 伙伴 创建 依赖 方 信任 关系 。 

计划 和 设计 AD FS: 为 网 络 规划 和 设计 一 项 技术 时 ， 有 一 些 与 技术 无 关 的 规划 和 设计 考虑 事项 。 例如， 应 确定 

是 否 需 要 高 可 用 性 和 站 点 弹性 。 需 要 弄 清楚 容量 和 硬件 需求 。 在 规划 和 设计 AD FS 环境 时 ， 还 需要 考虑 特定 于 AD 
FS 的 规划 和 设计 事项 ， 例 如 要 使 用 的 数据 库 和 证 书 。 了 解 每 个 选项 的 优 缺 点 非常 重要 ， 这 样 才能 为 组 织 做 出 最 佳 

问题 ”假定 计划 一 个 AD FS 实现 ， 其 中 局 域 网 中 有 两 个 联合 服务 器 ， 在 外 围 网 络 中 有 两 个 Web 应 用 程序 

代理 服务 器 。 但 是 ， 公 司 有 一 个 策略 ， 用 于 最 小 化 外 围 网 络 中 的 服务 器 。 应 该 怎么 做 ? 

答案 ”在 需要 (或 想 要 ) 避 免 在 外 围 网 络 中 添加 服务 器 的 情况 下 ， 有 两 个 选择 : 

* 在 外 围 网 络 中 使 用 现 有 的 反 同 代 理 。 这 样 的 反 疝 代理 可 能 取代 Web 应 用 程序 代理 服务 髓 。 

* 在 局 域 网 中 部 署 Web 应 用 程序 代理 服务 器 ， 在 外 围 网 络 中 使 用 已 有 的 反问 代理 。 

还 有 其 他 选项 ， 比 如 不 使 用 反 回 代理 作为 解决 方案 的 一 部 分 。 但 这 降低 了 环境 的 安全 性 , 因此 不 建议 这 样 做 。 

部 署 AD FS 环境 : 如 果 了 解 AD FS， 并 完成 了 规划 设计 阶段 ， 那么 AD FS 部 普 应 该 是 平稳 的 ， 没 有 任何 问题 。 

然而 ， 在 一 些 部 普 中 ， 不 能 完成 学 习 阶段 和 规划 设计 阶段 (或 者 ， 只 需要 快速 完成 其 中 的 一 个 或 多 个 阶段 )。 这 可 能 
会 给 部 普 市 来 压力 ， 最 终 可 能 导致 部 普 不 能 满足 需求 ， 或 达 不 到 预期 效果 。 为 缓解 这 一 问题 ， 应 总 是 为 项 目 留 出 足 
够 的 时 间 ， 以 便 在 非 生产 环境 中 进行 首次 部 普 。 在 非 生产 环境 中 ， 可 以 验证 设计 并 创建 部 普 文 档 。 如 有 果 出 现 问题 ， 
束 有 时 间 修 复 它 ， 因 为 当前 是 在 非 生产 环境 中 工作 。 当 部 普 到 生产 环境 时 ， 知 识 会 更 丰富 ， 还 会 创建 一 个 部 普 文 档 ， 
提前 验证 设计 ， 这 通 当 能 确保 成 功 。 

问题 在 新 的 AD FS 场 中 部 署 第 一 个 联合 服务 器 时 ， 安 装 同 导 提示 使 用 证 书 。 应 该 指定 哪 种 类 型 的 证 书 

文件 ? 

答案 主要 要 求 是 有 一 个 市 有 私 钥 的 证 书 。 因 此 ， 需 要 使 用 包含 私 钥 的 .p 低 文件。 作为 部 普 前 工作 的 一 部 

分 ， 应 该 在 部 署 AD FS 之 前 获得 证 书 。 然 后 ， 把 .p 信 文件 复制 到 联合 服务 器 ， 以 便 在 部 署 期 间 准备 好 。 完 

成 证 书 之 后 ， 安 全 地 从 文件 系统 中 删除 .p 你 文件 。 


用 System Center 进行 管理 


与 之 前 的 产品 版 本 一 样 ，System Center 2016 在 IT 领域 扮演 着 重要 的 服务 管理 角色 。 本 章 将 介绍 该 套件 中 不 同 
的 高 级 产品 .IT 专业 人 员 并 不 负责 在 环境 中 完成 关键 业务 活动 需要 的 所 有 任务 ,因此 本 章 只 讨论 支持 Windows Server 
所 需 的 基础 知识 。 通 过 提供 关键 功能 ( 称 为 服务 )， 使 企业 能 够 实现 其 目标 ,IT 在 服务 器 管理 过 程 中 扮演 着 重要 角色 。 
虽然 许多 活动 都 属于 IT 部 门 ， 但 这 些 活 动 常 分 配 到 不 同 部 门 ， 而 不 是 合并 成 一 个 紧密 结合 的 单元 。 桌 面 支 持 、 应 
用 程序 开发 、 服 务 器 支持 、 存 储 管理 等 都 是 IT 的 不 同方 面 , 但 它们 并 不 总 是 非常 统一 , 无 法 交付 高 质量 的 IT 服务 。 
通常 ， 不 同 角色 没有 明确 的 定义 ， 所 以 职责 也 不 明确 。 为 帮助 理解 这 些 含糊 之 处 ， 我 们 将 在 这 些 服 务 的 整个 生命 周 
期 中 定义 IT 服务 管理 。 


本 和 草 内 容 : 

令 ”了解 所 有 Microsoft System Center 产品 如 何 映射 到 服务 管理 
令 ”配置 SQL Server 集群 

全 ”安装 System Center 2016 

分” 安装 Windows Server 2016 的 管理 包 


12.1 System Center 2016 概述 


本 节 介 绍 System Center 2016， 探 索 产 品 的 新 特性 ， 并 研究 产品 如 何 发 展 成 为 企业 管理 工具 ， 为 Windows 客户 
疹 提 供 完 整 的 服务 器 管理 解决 方案 。 

因为 大 多 数 人 都 在 研究 升级 路 径 ， 所 以 这 里 从 System Center 2016 的 升级 顺序 开始 。 但 是 ， 用 户 可 能 正在 进行 
新 的 安装 ， 因 此 接 下 来 介绍 安装 顺序 。 


12.1.1 理解 升级 顺序 


在 执行 任何 新 的 安装 或 升级 过 程 之 前 ， 需 要 检查 软件 的 支持 平台 和 系统 需求 。 表 12.1 列 出 了 各 种 支持 的 升级 路 
径 。 如 果 当 前 使 用 的 是 System Center 2012 R2， 则 需要 了 解 这 些 升级 路 径 。 


表 12.1 支持 的 升级 路 径 


组 ” 件 之 副 的 版 本 

Data Protection Manager System Center 2012 R2 with UR10 或 更 高 版 本 
Operations Manager System Center 2012 R2 with UR9 或 更 高 版 本 
Orchestrator System Center 2012 R2 with UR8 或 更 高 版 本 
Service Management Automation System Center 2012 R2 with UR7 或 更 高 版 本 
Service Manager System Center 2012 R2 with UR9 或 更 高 版 本 
Service Provider Foundation 

Virtual Machine Manager System Center 2012 R2 with UR9 或 更 高 版 本 


System Center Configuration Manager System Center 2012 R2 SP1 或 更 高 版 本 
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在 升级 到 System Center 2016 之 前 ， 需 要 检查 和 验证 现 有 的 环境 ( 稍 后 将 介绍 System Center Configuration 
ManasgeT)。 


现实 世 表 中 的 System Center 升级 顺序 

与 客户 打交道 时 ， 最 常见 的 问题 之 一 是 ， 升 级 顺序 是 什么 ?这 很 有趣 ， 因 为 与 我 们 合作 的 大 多 数 客户 并 没有 安 
装 所 有 的 产品 。 但 是 ， 理 解 升级 顺序 仍然 很 重要 。 建 议 按 以 下 顺序 升级 以 下 产品 : 

(1) Orchestrator 

(2) Service Manaper 

(3) Data Protection Manager 

(4) Operations Manager 

($5) Virtual Machine Manager 

(6) System Center Confieuration Manager 


在 继续 安装 System Center 2016 之 前 ， 请 确保 了 解 不 同 的 系统 需求 。 可 在 以 下 和 链接 查看 它们 : https://docs. 


microsott.com/en-us/system-center/?vilew=sc-om-1711。 


12.1.2 了 解 安装 顺序 


安 沪 一 个 产品 或 一 系列 产品 可 能 有 乓 挑战 。 因为 本 书 关 注 的 是 Windows Server 2016， 所 以 在 概述 安 交 产品 和 管 
Windows Server 的 步骤 之 前 ， 先 看 看 产品 的 安装 顺序 和 硬件 配置 。 


1. 推荐 的 硬件 
为 每 种 产品 构建 新 服务 器 之 前 ， 务 必 了 解 每 种 产品 所 需 的 推荐 最 小 CPU、 内 存 和 磁盘 空间 ， 如 表 12.2 所 示 。 
表 12.2 ”推荐 的 硬件 
服务 器 硬盘 空间 

OpsMpr Server 2.33GHz 8 核 125GB 
Orchestrator Server 2.1GHz 4 核 200GB 
Virtual Machine Manaper Server 2.66GHz 16 核 200GB 
System Center Configuration Manager 2.66GHz 16 核 300GB 


为 System Center 2016 构建 每 个 服务 器 时 ， 请 确保 系统 满足 最 低 硬件 建议 。 否 则 ， 当 产品 完全 实现 时 ， 可 能 会 
遇 到 性 能 问题 。 


2. SQL Server 版 本 支持 

SQL Server 为 System Center 2016 产品 提供 了 基础 。 每 个 产品 版 本 都 有 一 个 与 之 相关 联 的 数据 库 ， 也 代表 了 存 
储 在 每 个 数据 库 中 的 流程 和 信息 的 80% 以 上 。 应 该 在 组 件 上 安 准 SQL Server 2016 标准 版 还 是 企业 版 ， 取 决 于 它 将 
持 有 的 数据 量 。 以 Configuration Manager 为 例 ; 标准 版 最 多 可 文 持 50 000 个 客户 端 ， 企 业 版 文 持 的 客户 端 可 超过 
50 000 个 。 


3. 数据 库 集群 的 建议 

如 果 打 算 安 装 一 个 一 体 化 (one-for-all) 数 据 库 集群 ， 它 会 容纳 所 有 实例 ， 以 支持 System Center 2016， 可 通过 至 
少 两 个 节点 来 实现 这 一 点 。 有 关 如 何 创 建 这 个 集群 机 器 的 更 多 信息 ， 请 参阅 第 3 章 。 但 必须 记 住 为 每 个 实例 推荐 的 
内 存量 ， 如 表 12.3 所 示 。 


SQL 实例 
Orchestrator 
Operations Manager 
Service Manager 
Virtual Machine Manager 
Data Protection Manager 
Configuration Manager 


表 12.3 


每 个 SQL 实例 的 SQL 内 存 


8GB 
8GB 
8GB 
8GB 
8GB 


16GB 
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SQL 最 小 内 存 


因为 每 个 产品 都 拥有 实例 ， 并 在 SQL Security 配置 和 系统 数据 库 上 执行 更 改 ， 所 以 每 个 SQL 实例 都 应 该 是 独立 的 。 


一 体 化 (one-for-all) 数 据 库 集群 


如 表 12.3 所 示 ， 每 个 SQL 实例 的 命名 都 与 产品 的 名 称 相对 应 。 在 SQL Server 中 ， 可 以 选择 默认 实例 或 命名 实 
例 。 后 面 为 SQL Server Installation 选择 一 个 命名 实例 。 该 实例 需要 至 少 三 个 集群 磁盘 ， 来 存储 不 同 数据 库 的 信息 。 


4. 数据 库 的 文件 类 型 


SQL 创建 了 三 种 主要 的 数据 库 文件 类 型 ; 
”第 一 个 文件 类 型 通常 是 系统 数据 库 。 系 统 数 据 库 包含 主 数据 库 和 其 他 文件 。 


令 ”第 二 个 文件 类 型 是 所 谓 的 临时 数据 库 。 建 议 将 此 数据 库 放 在 一 个 单独 的 驱动 器 上 ， 创 建 多 个 数据 库 文件 ， 
以 匹配 服务 器 的 CPU 数量 。 通 第 ， 比 率 是 1 : 1。 对 于 每 个 CPU, 创建 一 个 临时 数据 库 文件 ， 但 那些 拥有 


超过 8 个 CPU 的 服务 器 除外 。 在 这 些 情况 下 ， 最 多 创建 8 个 tempdb 文件 。 


令 ”最 后 一 个 数据 库 类 型 是 System Center 数据 库 。 也 可 将 这 个 数据 库存 储 在 单独 的 驱动 器 上 。 


12.1.3 在 集群 中 安装 实例 


为 完成 这 个 过 程 ， 下 面 在 集群 中 创建 一 个 SQL Server 实例 。 可 在 以 下 链接 中 找到 更 多 资料 ;https://docs.microsoft. 


com/en-us/sql/sql-server/itaillover-clusters/install/create-a-neW-sql-server-faillover-cluster-setup。 


对 于 这 个 场景 ， 集 群 中 有 两 个 节点 。SQL01 为 节点 1，SQL02 为 节点 2。 执行 以 下 步骤 ; 


(1) 登录 到 节点 1， 即 SQL01。 


(2) 插入 SQL Server 介质 或 SQL Server 2016 安装 介质 。 
(3) 在 SQL Server Installation Center， 如 图 12.1 所 示 ， 单 击 Installation。 


询 SQL Server Installation Center 


Planning 
Installation 
Maintenance 
Tools 
Rasources 


Bdhranced 


dptions 


New SOL Server stand-alone installation or add features to an existing installation 


Launch a wizard to install SQL Server 2016 in a non-clustered emmironment or to add 
features to an esting SUL server 2D1b instance. 


“1 nstall SQL Server Management Tools 


Launch a download page that provides a link te install SQL Server Managerment 
udio, SQL Server command-line utilities (SQOLCMD and BCPY SQL Server Povershall 
prowider, SQL Server Profiler and Database Tuning Adhvisor, An internet connection 1s 
negquired to install these tools. 


| lrestall SOL Server Data Tools 
9 Launch a download page that provides a link to install SQL Server Data Tools (SSCT), 


S50T provides Visual Studio integration including project systerm support for Arure 
SO Database, the SQL Server Database Engine, Reporting Services, Anabysis Services 
and Integration Services. An internet connection is regquired to install $50T. 


we New SO Server faillower cluster nstallatrarn 


hicrosoft’ SQL Server’ 2016 


图 12.1 


Launch a wizard to install a single-node SQL Server 2016 faillowver cluster. 


Add nodeto a SL Serwer fallowver cluster 


Launch a wizard to add a node to an existing SQL Server 2016 failover cluster. 


Upgrade from a previous version of SQL Senver 


Launch a wizard to upgrade a previous version of SO Server to SOL server aD1b. 


New h Server (standalone) installation 

Launch a wizard to install R Server (Standalone) on a Windows machine. This 5s 
typicalhy used by data scientists as a standalone analysis senver or as a SQL Server R 
services client, 


SQL Server Installer Center 
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(4) 选择 New SQL Server failover cluster installation 。 

(5) 在 Install a SQL Server Failover Cluster 屏 磋 上， 输入 产品 密 钥 或 选择 免费 版 本 。 输 入 或 选择 适当 的 选项 后 ， 
单 击 Next。 

(6) 选择 IAccept The License Terms， 然 后 单 击 Next。 

(7) 选择 Use Microsoft Update To Check For Updates (Recommended)， 然 后 单 击 Next。 

(8) 对 于 Install Failover Cluster Rules， 检 查 每 个 规则 并 处 理 失 败 的 规则 。 一 旦 解决 了 这 些 问 题 ， 单 击 Next。 

(9) 对 于 Feature Selection， 只 需要 为 每 个 实例 提供 数据 库 引 擎 服务 。 选 择 后 单 击 Next。 

(10) 对 于 Feature Rules， 检 查 已 经 通过 的 每 个 规则 。 如 果 失 败 ， 则 处 理 特定 的 失败 ， 然 后 重新 运行 规则 。 完 成 
此 步骤 后 ， 单 击 Next。 

(11) 对 于 Instance Configuration， 输 入 实例 的 详细 信息 。 对 于 这 个 场景 ， 使 用 一 个 命名 实例 ， 如 图 12.2 所 示 。 
添加 与 要 配置 的 System Center Instance 对 应 的 名 称 。 


人 Install s SQL Server Fallower Cluster 


Instance Configuration 


Specify the name and instance ID for the instance of QL Server, Instance ID becomes part of the nstallation path, 


Product Key Spercify a netvwork narme for the new SQL Server failover cluster. This will be the name used to identify 


re your failower cluster on the network. 


Global Rules SQL Server Network Name: 
Microsott Update 


Product Updates Defauh instance 
Install Setup Files 


cha alien hete lee ONamedinsancee [rot | 


Feature Selectiorn 


Foabure Rules Instance ID: ORCHDATA | 


Instance Configuration 


Cluster Resource Group SQL Server directory. C\Program Files\Microsoft SQL Serve\MS5QL13.0RCHDATA 
Cluster Disk Selection 


Cluster Netwerk Configuration Detected SOL server instarces arvd features on this computer 
PolyBase Configuration |rmstanse Clustar Matwerk Marme Paaturas 
SEFVEr CONfiguration 

Database Engine Configuration 

Feature Configuration Rules 

Neady te lrstall 


Installation Progress 


图 12.2 输入 实例 的 详细 信息 


(12) 对 于 Cluster Resource Group Name， 验 证 名 称 并 单 击 Next。 
(13) 对 于 Custer Disk Selection, 选择 一 个 可 用 的 共享 磁盘 。 如 果 没 有 可 用 的 , 此 时 创建 一 个 , 然后 单 击 Refresh。 
一 旦 Available shared disks 列表 显示 了 如 图 12.3 所 示 的 驱动 器 ， 就 为 集群 选择 最 好 的 驱动 器 。 然 后 单 击 Next。 


多 Install a 5QL Server Failower Cluster 


Cluster Disk Selection 
Select shared cluster disk resources for your SQL Server failover cluster. 
preduct Key Specihy the shared disks te be Iineluded nm the SAL Server resource cluster group. he first drve will be 


used as the default drive for all databases, but this can be changed on the Database Engine or Analysis 
Services configuration pages, 


License Terms 


Glebal Rules 

Nlicrosoft Update EOrchData 

EA orehTemp 
ODSemviceData 
Install Failonver Cluster Rules DServiceTemp 


Install Setup Files 


Feature Selection [L]WIMIWMIDats 


Feature Rules 
Auallable shared disks: 


Cualified Disk Message 
ChlData 


Instance Configuration 
Cluster Resource Group 
Chuster Disk Selection > 
Cluster Wetwork Configuration = CMiemp 
polyBase Configuration DPMData 
Server Configuration . IDPMTemp | | 
Database Engine Contiguration C DT The disk resource DT 1s already in use by resource MSDTG-DTE (2a) ss 
Feature Configuration Rules | OpsM yr Data | | 
Ready te Install | pshMarTeme 
Installation Progress 


Complete 


< Back 


12.3 ”选择 可 用 的 共享 磁盘 
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(14) 对 于 Cluster Network Configuration， 请 确保 输入 以 下 SQL 实例 的 静态 IP。 然 后 单 击 Next。 

(15) 对 于 Server Configuration， 请 确保 数据 库 引 擎 使 用 Domain Service Account 运行 。 还 要 确保 Collation 是 由 
即将 安装 的 System Center 产品 支持 的 。 硝 认 之 后 ， 单 击 Next。 

(16) 对 于 Database Engine Configuration， 单 击 Add Current User。 在 Server Configuration 选项 卡 上 ， 添 加 所 需 
的 任何 安全 组 。 然 后 单 击 Data Directories， 并 确保 数据 根 和 用 户 数 据 库 指 回 正确 的 集群 存储 ， 如 图 12.4 所 示 。 然 后 
单 击 TempDB， 添 加 与 文件 数量 相同 的 CPU， 以 避免 数据 库 争 用 ， 如 图 12.5 所 示 。 和 完成 后 ， 单 击 Next。 


症 Install a SQL Server Failover Cluster 


Database Engine Configuration 


Specify Database Engine authentication security mode, administrators, data directories and TempDB settings. 


Product Key 

License Terms 

Glabal Rules 

Microsoft Update 

Install Setup Files 

Install Failower Cluster Rules 
Feature Selection 

Feature Rules 

Instance Configuration 

Cluster Resource Group 
Cluster Disk Selection 

Cluster Netywork Configuration 
PolyBase Corfiguration 

Sever CoNnfiguration 
Database Engine Configuration 
Feature Configuration Rules 
Reachy to Install 

Installation Progress 

Complete 


条 Install a SQL Server Failover Cluster 


Server Configuration Data Directones TempDBE FILESTREAM 


FE 


JMSSQLI3,0RCHMMSSOQLN Data 


Data root directory: 


System database directory: 


User database directory: EMSsQL13.0RCH\MSSQL\ Data 


KMSSQL13.0RCH\MSSQL\ Data 


EMSSQOLIS.ORCHM MASSOQL Backup 本 


User database |og directory: 


Backup directory: 


图 12.4 配置 数据 目录 


Database Engine Configuration 


Specify Database Engine authentication security mode, administrators, data directonies and TempDe settings. 


Product Key 

License lerms 

Global Rules 

Nlicrosoft Update 

Install Setup Files 

Iristall Failower Cluster Rules 
Feature Selection 

Feature Rules 

Instance Configuration 
Cluster Rescurce Group 
Cluster Disk Selection 

Cluster Mebweork Configuration 
PolyBase Configuration 

Server Configuration 
Database Engine Configuration 
Feature Configuration Rules 
Ready to Install 

Installation Progress 


Complete 


Server Configuration Data Directories TempDB FILESTREAM 


TempDB data files: tempdb.mdf tempdb_mssql #.ndf 
引 TotalinitalsizelMB: [3 | 
一 Total autogrowth (MB): 


EN\NSSQL1I3S. ORCHM MSSQL\ Data 


Number of files: 
Initialsize [MB): 8 


Autogrowth (MB): | 
Data directones 


TempDB log file: templog.ldf 


Initial size (MB): 昌 


|64 


EM\NSSQL1I3.ORCH\ MsSQL\ Data 


Autogrowth (MBE): 


Log directory: 


12.5 ”TempDB 选项 卡 


(17) 对 于 Ready To Install， 请 检查 并 验证 配置 ， 然 后 单 击 Install。 
(18) 在 Installation Progress 屏幕 上 ， 可 以 监视 进度 。 这 需要 几 分 钟 才 能 完成 。 


完成 后 ， 可 以 移动 到 第 二 个 节点 。 


(19) 对 于 SQL02， 局 动 SQL Server 安装 中 心 ， 选 择 Installation， 然 后 单 击 Add Note To A SQL Server Failover 
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Cluster。 

(20) 对 于 Product Key， 请 输入 密 钥 或 选择 免费 版 本 ， 然 后 单 击 Next。 

(21) 对 于 License Terms， 选 择 IAccept The License Terms， 然 后 单 击 Next。 

(22) 对 于 Global Rules， 只 需要 等 竺 规则 运行 ， 就 单 击 Next。 如 果 屏 幕 上 的 任何 项 需要 处 理 ， 请 随意 处 理 ， 然 
后 重新 运行 规则 。 人 否则 ， 系 统 将 目 动 移 到 下 一 个 屏幕 。 

(23) 对 于 Microsoft Update， 选 择 Use Microsoft Update 检查 更 新 ， 然 后 单 击 Next。 

(24) 对 于 Add Node Rules， 等 竺 规则 运行 并 完成 。 如 果 没 有 错误 ， 束 可 以 继续 本 节 的 内 容 。 如 果 存 在 错误 ， 必 
须 在 继续 进行 集群 节点 配置 之 前 解决 它们 。 完 成 此 步骤 后 ， 单 击 Next。 

(25) 对 于 Cluster Node Configuration， 查 看 要 添加 到 当前 节点 的 实例 名 ， 如 图 12.6 所 示 。 然 后 单 击 Next。 

轩 Add a Failover Cluster J a 
Cluster Node Configuration 


Mdd a node to an existing SQL Server failover cluster, 


Product Key 
License Terms 
Glabal Rules 


Merosoft Update 

Product Updates 

Install Setup Files 

hdd Node Rules 

Cluster Node Configuration 
Cluster Metwork Configuration 


irermments: | Drve tC: 1963 MB required, 34407 MB available 


sQLEngine, SQ.. QL01 
Ready to Add Node sQLEngine, 5Q... /530M 
Add Node Progress 
Complete 


12.6 坦 看 要 添加 到 当前 节 氮 的 实例 名 


(26) 对 于 Cluster Network Configuration， 验 证 要 添加 的 实例 的 网 络 设置 ， 然 后 单 击 Next。 

(27) 对 于 Service Account, 选择 Grant Perform Volume Maintenance Task Privilege To SQL Server Database Engine， 
重新 输入 服务 账户 的 密码 ; 然后 单 击 Next。 

(28) 在 ReadtoAdd Node 屏幕 上 ， 答 看 配置 并 单 击 Install。 

对 于 Add Node Progress， 要 等 待 几 分 钟 ， 直 到 完成 。 

请 注意 ， 对 于 要 添加 到 节点 的 每 个 SQL 实例 ， 都 需要 重复 本 节 的 步骤 。 


12.2 ”使 用 System Center 的 虚拟 机 管理 壳 


本 节 将 重点 讨论 虚拟 机 管理 器 (Virtual Machine Manager, VMM). 该 产品 的 主要 目标 是 提供 结构 ， 部 署 和 管理 
虚拟 机 ， 以 及 部 闭 多 层 应 用 程序 。 在 2016 版 本 中 ,该 产品 文 持 新 的 、 增 强 的 Windows Server 2016 软件 定义 的 计算 、 
存储 和 网 络 技术 。 可 以 创建 基于 模板 的 部 署 ， 并 通过 屏蔽 的 VM 和 Host Guardian Service Support 确保 基础 设施 的 安 
全 性 。 

要 阅读 关于 VMM 的 更 多 信息 ， 请 访问 以 下 链接 : 

https://technet.microsoft.com/en—us/system-—-center—-docs/vmm/get—-started/get—-started—-overview 

上 一 节 概述 了 实现 VMM 所 需 的 数据 库 和 软件 需求 。 本 节 将 重点 介绍 如 何 安装 VMM 以 及 如 何 部 署 第 一 个 虚拟 
机 。 如 果 寻 找 关 于 VMM 的 更 多 演示 和 信息 ， 请 查看 以 下 特性 演示 : 


https://blogs.technet .microsoft.com/scvmm/2017/01/23/system-—center—vmm-—2016-features-demos- 
on—channel—9/ 
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12.2.1 安 妆 和 配置 VMM 
下 面 使 用 一 个 名 为 SC05 的 虚拟 机 来 安装 VMM。 为 此 ， 只 需要 这 循 以 下 步骤 : 
(1) 登录 到 SC05， 并 确保 获得 VMM 安装 介质 。 
(2) 在 Installation Media Path 屏幕 上 ， 单 击 Setup.exe 启动 安装 介质 ， 然 后 单 击 Install。 
(3) 在 Getting started 屏幕 上 ,在 Select features to install 区 域 下 ,选择 VMM management server 和 VMM console， 
如 图 12.7 所 示 ， 然 后 单 击 Next。 
Microsoft System Center 2016 Virtual Machine Manager Setup Wizard x 


Getting started Report a problem 


Select features to Install 


VMM management server 
Installs the Virtual lachine Manager service, Which processes commands and controls communications with the VM 
database, lilbrary servers, and virtual machine hosts. 
This feature requires a 3QL Server database and Windows Assessment and Deployment Kit (ADK) for Windows 10.( View 
all installatlon requirements ) 

ww VMM console 
Installs a program that allows You to connect to a VMM management server to centralhy view and manage resources, 


such as hosts, virtual machines. private clouds, and services. ( View all installation requirements } 


图 12.7 ”Getting started 屏幕 


(4) 在 Product Registration Information 屏幕 上 ， 输 入 产品 密 钥 。 如 果 没 有 输入 产品 键 ， 就 会 处 于 评估 模式 。 完 
成 信息 后 ， 单 击 Next。 

(5) 在 Please Read This License Agreement 屏幕 上 ， 需 要 接受 它 ; 否则 就 无 法 继续 。 接受 这 些 条 于 后 , 单 击 Next。 

(6) 在 Diagnostic And Usage Data 屏幕 上 ， 单 击 Next。 

(7) 在 Microsoft Update 屏幕 上 ， 选 择 On(Recommended)。 这 是 保持 系统 最 新 的 最 佳 方法 。 然 后 单 击 Next。 

(8) 在 Installation Location 屏幕 上 ， 选 择 一 条 路 径 。 建 议 使 用 C: 以 外 的 驱动 器 ， 以 便 给 服务 器 分 配 更 多 存储 空 
间 。 输 入 正确 的 路 径 后 ， 单 击 Next。 

(9) 在 Prerequisite 屏幕 上 ， 确 保安 装 了 所 有 需要 的 软件 。 如 果 缺 少 任何 一 个 软件 ， 只 需要 安装 它们 ， 并 再 次 单 
击 Check Prerequisites。 然 后 单 击 Next。 


部 署 ADK 来 管理 引导 映像 
如 果 显 示 Windows Assessment and Deployment Kit 复 选 框 标 记 ， 请 确保 从 以 下 链接 下 载 ADK10: 


https://go.microsoft.com/fwlink/p/?LinkId=845542 


(10) 在 Database configuration 屏幕 上 ， 如 图 12.8 所 示 ， 选 择 Server name 或 Cluster name。 然 后 输入 服务 用 户 
和 密码 ,并 选择 实例 名 。 在 本 例 中 是 VMMI; 但 是 , 它 可 能 是 非 集群 或 共享 SQL 服务 器 中 的 默认 实例 MSSQLServer。 
然后 输入 新 的 数据 库 名 称 ; 默认 情况 下 ， 它 是 VirtualManagerDB， 但 如 有 必要 ， 可 以 重 命名 它 。 完 成 后 ， 单 击 
Next。 


SQL Server 服务 账户 

确保 服务 账户 对 SQL 服务 器 具有 权限 。 通 常 ， 在 安装 过 程 中 ， 给 它们 授予 实例 上 的 sysadmin 权限 ， 以 确保 创 
建 所 有 内 容 。 之 后 可 将 其 改 为 dbreader 和 dbowner。 另外, 需要 确保 使 用 端口 1433 或 任何 自 定义 端口 。 默认 情况 下 ， 
该 实例 会 使 用 动态 端口 。 
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回 Microsoft Systerm Center 2016 Virtual Machine Manager Setup Wirzard A 


Configuration Report a problem 


ee | | 


Database conflguration 


Provide information about the database that you would like to use for your VMM management server， 


Server name: [vmmcontoso.com 


Port: 1433 | 


Use the following credentials 


User name: contoso\sglservice ] 
Format DomaimMUserName 


Password: rr 


Instance name: | VMM 


Select an existing database or create a new database. 
(®) New database: VirtualManagerDB 
0) Existing database: 


12.8 ”Database configuration 屏幕 


(11) 在 Configure service account and distributed key management 屏幕 上 ， 输 入 服务 账户 和 分 布 式 密 钥 管理 
(DKM)， 如 图 12.9 所 示 。 然 后 单 击 Next。 


Microsoft System Center 2016 Virtual Machine Manager Setup Wizard 站 


Configuration Report a problem 


= 


Configure service account and distributed key management 


Virtual Machine Manager Service Account 


Select the account to be used by the VMM service. Highlhy available VMM installations require the use of a domain account, 
Which type of account should | use? 


(0) Local System account 
(®) Domain account 


User name and domain: Password: 


tontoso\Wvmmserviece | TTTTTTTT 


Distributed Key Management 
Select whether to store encryption keys In Actve Directory Instead of on the local machime, Highly available VMIM installations 
regquire the keys be stored in Active Directory， 
Store my keys in Active Directory 
Provide the location in Active Directory. For example, CN=DKM.DC=contoso,DC=com. 
CN=DKM DC=contoso DC=co 


How do | configure distnbuted key management? 


图 12.9 输入 服务 账户 和 DKM 


(12) 在 Port configuration 屏幕 上 ， 和 玛 看 VMM 需要 的 当前 咒 口 列表 ， 如 图 12.10 所 示 ; 然后 单 击 Next。 
有 关 问 口 列 表 ， 请 参阅 https://technet.microsoft.com/en-us/library/gg710871 (v=sc.12).aspx。 

(13) 在 Library configuration 屏幕 上 ， 选 择 创 建 一 个 新 库 ， 如 图 12.11 所 示 ; 然后 单 击 Next。 

(14) 查看 安装 摘要 ， 并 单 击 mstall。 安 装 需要 几 分 钟 才能 完成 。 
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Microsoft System Center 2016 Virtual Machine Manager Setup Wizard 让 


Comfiguration 


Report a problem 


Port configuration 


Management Server 


Please select the ports for varcus VMM teatures. 


Communication with the VMNM console 

Communication to agents on hosts and library servers 

File transfers to agents on hosts and llbrary servers 

Communication with Windows Deployment Services 

Communication with Windows Preinstallation Environment (Windows PE) agents 


| Communication with Windows PE agent for time synehronization 


[eas ] ] 
图 12.10 查看 VMM 需要 的 当前 端口 列表 
Mierosoft Systerm Center 2016 Virtual Machine Manager Setup Wizard 这 
Configuration Report a problem 
| 
Library configuration 


specify a share for the Virtual Machine Manager library 
®) Create a new library share 
Share name: IMSSCVMMLibrary 


Share location; CN\ProgramData\Wirtual Machine Manager Librany Files 


Share description: IVMM Library Share 


DO Use an existing library share 
share name: MSSsCVMMLbrary 


share |ocation: 


share description: 


12.11 选择 创建 一 个 新 库 
12.2.2 ”管理 VMM 计算 结构 
实现 了 VMM 服务 器 后 ， 就 可 以 开始 构建 虚拟 机 ， 并 在 这 些 VM 中 管理 Windows Server 2016 操作 系统 。 为 此 ， 
需要 了 解 计算 结构 ， 它 描述 了 某 物 的 不 同 部 分 协同 工作 、 形 成 单个 实体 的 方式 。 
12.2.3 ”管理 VMM 库 


VMM 库 由 一 个 或 多 个 包含 VMM 资源 的 共享 文件 组 成 。 在 库 中 ， 为 进行 交互 ， 可 添加 基于 文件 的 资源 ， 例 如 
虚拟 和 硬盘、 配置 模板 和 配置 文件 ， 这 些 配 置 文件 用 于 提供 VM 和 服务 。 如 果 想 了 解 更 多 关于 VMM 库 的 信息 ， 请 得 
看 以 下 链接 : 


https://technet.microsoft.com/en—us/system-—center-docs/vmm/manage/manage—-library-OVerview 
12.2.4 ”管理 VMM 主机 组 
将 VMM 主机 组 设置 为 逻辑 实体 ， 以 便 将 虚拟 化 主机 组 合 在 一 起 。 然 后 在 主机 组 级 别 分 配 和 配置 这 些 资源 。 要 
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了 解 更 多 信息 ， 请 音 看 以 下 链接 : 


https://docs.microsoft.com/en-—us/system-—center/vmm/host-groups?view=sc—-vmm-—1711 


12.2.5 “管理 Hyper-V 主机 和 集群 


可 在 VMM 计算 结构 中 管理 Hyper-V 基础 结构 。 可 以 添加 现 有 的 服务 器 (包括 Nano Server 服务 右 )， 并 在 需要 时 
为 它们 提供 Hyper-V 角色 。 可 从 现 有 的 独立 Hyper-V 主机 中 创建 Hyper-V 集群 ,或 者 重新 提供 Hyper-V 主机 或 集群 。 
还 可 以 通过 滚动 升级 来 保持 Hyper-V 集群 处 于 最 新 状态 。 详 情 请 参阅 以 下 链接 : 


https://docs.microsoft.com/en us/system-—-center/vmm/hyper—-v-hosts?view=sc—vmm-—171l1 


12.2.6 ”管理 VMware 服务 器 

可 在 VMM 计算 结构 中 添加 、 管 理 VMware vCenter 服务 器 和 vSphere 主机 。 可 以 管理 日 常 操作 ,包括 主机 发 现 
和 管理 以 及 VM 配置 。 要 了 解 更 多 相关 信息 ， 请 访问 以 下 链接 : 

https://docs.microsoft.com/en-us/system-—-center/vmm/manage—vmware—-hosts?view= sc-vmm-1711 
12.2.7 ”管理 基础 设施 服务 器 

可 添加 VMM 用 于 供应 和 联网 的 基础 架构 服务 器 。 可 添加 Active Directory、 域 名 系统 (DNS) 和 动态 主机 配置 协 
议 (DHCP) 服 务 器 ， 这 样 就 可 在 相同 的 位 置 中 管理 和 更 新 所 有 这 些 服务 器 。 要 了 解 更 多 相关 信息 ， 请 查看 以 下 链接 : 

https://docs.microsoft.com/en—us/system—center/vmm/infrastructure—server?view=sc—vmm—1711 

以 下 是 将 Windows Server 2016 ISO 添加 到 VMM 库 中 的 方法 : 

(1) 在 Start | Microsoft System Center 2016 中 打开 Virtual Machine Manager 控制 台 。 

(2) 进入 Library 工作 区 ， 然 后 展开 Library Servers， 如 图 12.12 所 示 。 

司 悦 府 | 暮 芍 YY 间 


Create Sernce Create Vi Create | Pdd Library Import lmpertPhyscal lmpart 
Temp Template 加 5 Template Resoure Shielding Data 


Brld 
Library ® Physical Library Objects (2) 
Application Profiles 
蕊 3 Capability Profiles 
[Ee3 Guest OS Profiles 
Handware Profiles 
车 Physical Computer Protiles 
加 SQL Server Profiles 
® VM sheelding Dats 
记 Equivalent Objects 
十 名 oud Libranes 


昌 5elf Service User Content 
4 BW Library Servers = 
要 并 SSEGntosocGrmm 
"| MISSCVIAMLibrary 
3 Stored Witual hlachines and Se 
国 trehaned Reseurees 


| VMs and Services 


Fabric 


己 Library 
回 Jebs 旋 


(9 settings 
图 12.12 展开 Library Servers 
(3) 右 击 MSSCVMMLibrary 然后 选择 Explore， 如 图 12.13 所 示 。 
(4) 可 将 ISO 复制 到 根 目录 ， 或 创建 一 个 文件 来， 将 其 命名 为 ISO Image。 这 是 复制 Windows Server 2016 ISO 


时 采用 的 方法 。 
($5) 完成 步骤 4 后 ， 转 到 Library Servers 节点 ， 并 右 击 Refresh。 新 的 ISO 将 显示 在 节点 上 ， 如 图 12.14 所 示 。 
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Share View Manage 


« SCO5,contoso.com » MSSCVMMLibrary » ISOs w 可 Search [SOs 


Name Date modified Type SIZE 


上 |@ en windows server 2016 x64 dvd 9718492 aa017 10:17 AM Disc Image File 5,745.412 KB 


图 12.13 MSSCVMMLibrary 


[sl eryer Taols uaaniestratar - Sentos.car - Virtual Machane I anager LEvamatron era - | yd Hays renriainamg 


i Home Folder Librany Server 


他] 恒 ] 人 斐 ; 半 | 多 | 站 国 四 Ra 


Create Service Create VM Crea bdd Library Import lmpern Phrysical Import Export Phwsical Library 
TEmpPlate Template = SFwer Template Resouree shield ng Dala Rassurce Settings | 好 PRO 
Create Add |rmpa 上 5 Wind ow 


i i Cm 


Library * Physical Library Objedis (9 


= Capability Prosil 
亚 ee Marme Type ”|‖ Lbrary Serwer Cperating “stem | Cwner itatus 
Guest OS Profles . 
Blank Disk = Large, VHDX 3003.00ntoso.com 
国 ” Hardware Profiles 
l=¥ Blank Crk - Small: VHD SOO .contoso.carm 
BB- physical Computer Profiles | 
Blank Crsk = Small. VHDX SO05,.contosocom 
EC soQL Server Profiles | 
VM Shielding pata Es Blank Disk = Large, VHC SCOT,contosocom 
WebDeploy whd el Custom Resource SOO0S.contoszocorm 
加 Equivalent Objerts | 
SAV xdb_en-llS 4 Custom Resource SOOS,contosocom 
Ss Cloud Libranes A x en Us 4 Custom Resource sO05.contosocom 
Self Service Loer Cortent WebDeploy saB6 el Custom Resource SOO05.contoso.corm 


| en_windows serve 的 总 |mage SC0S,.contosocom 
三 | Library Servers 


志 是 SCOS, cantoss. com 
二 二 | MscCviAMLibrany 
J ApplicationFramevworks 
ls0s 


= i li 


于 VMs and Services 


Fabric 
号 Library 
加 Jobs 


[| Settings 


图 12.14 新 的 ISO 将 显示 在 节点 上 


12.2.8 ”管理 VMM 网 络 结构 


要 在 VMM 上 构建 网 络 ， 需 要 创建 VM 网 络 。 在 展示 如 何 构建 它们 之 前 ， 先 理解 它们 的 合 义 。 


1. 管理 逻辑 网 络 
创建 映射 到 物理 网 络 的 逻辑 网 络 ， 并 表示 该 物理 网 络 。 可 以 指定 逻辑 网 络 设置 ， 以 匹配 映射 的 物理 网 络 ， 包 括 


网 络 类 型 、 关 联 的 网 络 站 点 ， 以 及 与 之 相关 的 静态 地 址 池 。 要 了 解 更 多 信息 ， 请 访问 以 下 链接 ; 


https://docs.microsoft.com/en-us/system-—-center/vmm/network-—-logical?view=sc—-vmm-—171l1 


2. 管理 VM 网 络 
VM 网 络 是 与 逻辑 网 络 一 起 工作 并 与 逻辑 网 络 交互 的 抽象 对 象 . 公 开 的 逻辑 网 络 可 以 有 多 个 VM 网 络 与 之 关联 ， 


从 而 允许 将 每 个 VM 网 络 用 于 不 同 目的 。 可 通过 以 下 链接 了 解 更 多 信息 : 


https://docs.microsoft.com/en—us/systemcenter/vmm/networks—virtual? view=sc—-vmm—l1711 


3. 管理 网 络 虚拟 化 网 关 
如 果 使 用 的 是 公开 的 VM 网 络 , 该 网 络 中 的 VM 只 能 连接 到 同一 子 网 中 的 机 器 。 如 果 要 进一步 连接 ,可 以 设置 


网 络 虚拟 化 网 关 。 详 情 请 参阅 以 下 链接 : 


https://docs.microsoft.com/en-us/system-—-center/vmm/network-gateway?view=sc—-vmm-—171l1 


12.2.9 ”创建 远 辑 网 络 


下 面 是 创建 逻辑 网 络 的 步骤。 
(1) 打开 VMM 控制 台 。 
(2) 转 到 Fabric 工作 区 ， 并 单 击 Networking， 如 图 12.15 所 示 。 
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Home 


盏 
摘 : | 总 Create IP Pool 神 证 加 Elt i Sery 画 Powershall 
融 Create MAC Poal Virtual iachines Jobs 


ee ee Creste Wh ， reate Create Cvervievw Re 
Nietivark 到 Create YIP Template 二 Switch = Resources » Hosts 而 PRD 


Wind en 

abrie 

一 让 Servers 

MI Hasts 
} Infrastructure 是 MAC Address Pools 

Es Load Balaneers 

J 二 Networking 一 国 WP Templates 

| Storage 名 Lagical Switches 
于 Pert Prefiles 
EE Bort Class vcations 
Network Service 


于 VIMs and Senvices 
ee Fabrie 

[= Library 

Jobs 


3 Settings 


图 12.15 创建 逻辑 网 络 


(3) 在 Create Logical Network Wizard 中 ， 输 入 逻辑 网 络 的 名 称 和 摘 述 ， 然 后 单 击 Next。 
(4) 在 Specify logical network settings 屏幕 中 ， 如 图 12.16 所 示 ， 进 行 适当 的 选择 。 完 成 设置 后 ， 单 击 Next。 


Thr Create Logical Network Wizard 


Settings 


Name Specify logical network settings 
Settings 

- select the option Which describes this logical network: 
Network Site ® One connected network 


The network srtes wthin this netvweork are equrvalent and routable to one ancther and can be used as 
a single connected network, 
Allow new VM networks created on this logical network to use network virtualization 


Summary 


Create a VM network with the same name to allow virtual machines to access this logical network 
directhy 


OO) VLAN-based independent networks 


The subnet-VLAN pairs defined by the sites in this logical network are Used as Independent networks. 
They might or might not be routable to one another. 


DD) Private VLAN (PVLAN) networks 
The network sites within this es network contain independent networks consisting of primary and 


12.16 进行 适当 的 选择 


(5) 在 Network sites 屏幕 上 ， 单 击 Add， 选 择 适 当 的 主机 ， 如 图 12.17 所 示 ， 单 击 Insert row， 然 后 输入 想 要 使 
用 的 VLAN 标识 号 和 IP 子 网 。 查 看 Network site name 并 单 击 Next。 
(6) 检查 摘要 ， 单 击 Finish。 
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Th Creaste Logwal Netywork Wizard 


i 


Network Site 


Name Network sites 


Settings Network sites Can be added to a Iogical netweork to associate VLANs and subrnets to hoest groups. 


Network Site ] Enter IP subnets using CIDR notation, for example: 192.168,1,0/24, FOA4A:29C0: 184F:3A2C:/64. 


Summary 加 Add 二 Remove 


市 | YMM Network_D Host groups that can use this network site: 
| All Hosts 


BMssociated VLANs and IP subnets: 


192.168.2.0/24 | Delete row | 


Netywork site name: VMM Network 0 


12.2.10 ”创建 VM 网 络 


下 面 是 创建 VM 网 络 的 步骤 。 
(1) 打开 VMM 控制 台 。 
(2) 进入 Fabric Workspace 屏幕 。 单 击 Networking Node， 人 然后 单 击 Create VM Network， 如 图 12.18 所 示 。 
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12.18 创建 VM 网 络 


(3) 在 Specify a name and description for the VM network 屏幕 上 ， 输 入 名 称 摘 述 和 逻辑 网 络 ， 选 择 逻 辑 网 络 ， 如 
图 12.19 所 示 ， 然 后 单 击 Next。 

(4) 在 Select the Isolation for This VM Network 屏幕 上 上， 选择 Isolate Using Hyper-V Network Virtualization; 保留 
默认 值 ， 然 后 单 击 Next。 

(5) 在 Specify VM subnets 屏幕 上 ， 单 击 Add; 输入 名 称 和 子 网 ， 如 图 12.20 所 示 ， 然 后 单 击 Next。 

(6) 在 Connectivity 屏幕 上 ， 将 设置 指定 为 默认 值 ， 然 后 单 击 Next。 

(7) 在 Summary 页 面 上 ， 查 看 所 有 设置 ， 并 单 击 Next。 
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名 ,Create VM Network Wizard 


| specify a name and description for the VM network 


Name: WhARMI Internal 


Logical network: | VMM Network 


12.19 指定 VM 网 络 的 名 称 和 摘 述 信息 
总 ,Create VM Network Wizard 


站- VM Subnets 


Name Specify VM subnets 
[sslation 


VM Subnets ] i 


[而 Mastering 
Connectivity | 192.168.2.0/24 VM subnet 


| 
Summary Gve a name to the IP subnet to be virtualized by the Vi 
Network, Enter IP subnets using CIDR notation, for example: 
192.168.1,0/24, FDAA:29CD:184F:3A2C:/64. 


Narme: 


| Mastering | 


Subnet 
|192.168.2.0/24 | 


12.20 指定 VM 子 网 

12.2.11 ”管理 存储 结构 

存储 是 VMM 的 关键; 它 将 确定 在 何 处 存储 虚拟 机 及 其 虚拟 人 硬盘 驱动 器 ， 因 此 理解 不 同 的 存储 选项 很 重要 。 

VMM 可 以 识别 本 地 存储 和 远程 存储 。 本 地 存储 位 于 VMM 服务 器 上 或 直接 连接 到 它 。 它 通 第 是 服务 器 上 的 一 
个 磁盘 张 动 器 ， 与 内 置 的 独立 磁盘 见 余 阵列 (RAID)、 串 行 附加 SCSI (SAS) 或 一 组 驱动 器 (JBOD) 连 接 。 

按照 以 下 步 又 添 加 存储 设备 : 

(1) 打开 VMM 控制 台 。 

(2) 单 击 Fabric | Storage| Add Resources|Storage Devices。 

(3) 在 Add Storage Devices Wizard 中 ， 如 图 12.21 所 示 ， 选 择 提 供 程序 类 型 ,在 具有 SMI-S 或 SMP 的 存储 设备 
中 选择 并 添加 ， 以 适应 当前 使 用 的 设备 。 

(4) 在 Specify Discovery Scope 屏幕 上 ， 如 果 使 用 的 是 SMI-S， 请 指定 提供 程序 是 使 用 SMI-S CIMXML( 公 共 信 
息 模 型 可 扩展 标记 语言 ) 还 是 SMI-S WMI(Windows Management Instrmumentation)， 添 加 卫 地 址 /FQDN， 并 添加 用 于 
连接 远程 服务 器 上 的 提供 程序 的 端口 。 如 果 使 用 CIMXML， 可 启用 SSL。 然 后 指定 用 于 连接 到 提供 程序 的 账户 。 
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也 Bdd Storage Devices Wizard 


二 Select Provider Type 


] Select Provider Type ] Select a storage provider type 


Specmy Discovery Scope Before you begin this wizard, you might have to manually install storage provider software. Select the 
storage provider type that matches the type of device you Want to manage. 


Gather Informatiaon 

my Windows-based fle server 
SE OD AN ond MAS doves dcared ond managed EY a SMLS Previder 
Summary DO SAN devices managed by a native SMP provider 


Ci Fibre Channel fabric discevered and managed by a SMI-S provider 


12.21 选择 存储 提供 程序 类 型 


如 果 使 用 的 是 SMP， 请 从 列表 中 选择 提供 程序 。 如 果 提 供 程序 不 在 列表 中 ， 就 单 击 Import 刷新 它 。 
(5) 在 Gather Information 屏幕 上 ， 如 图 12.22 所 示 ，VMM 自动 尝试 发 现 并 导入 存储 设备 信息 。 要 重 试 ， 单 击 


Scan Provider。 


旦 Add Storage Devices Wizard A 
9 


= Gather Information 


Select Provider Wype Discover and import storage device information 


Specihy Discovery Seope 


[ITTTTTTTTITT 


| Gather Information | 
elect Storage Devices SCOS .contosn.com Microsoft Corporation Wirtual Machire 


Surmmary 


Lpenou || Men | cm |， 


12.22 ”收集 信息 


(6) 如 果 选 用 来 目 SMI-S 提供 程序 的 SSL 连接 ， 请 注意 ， 在 发 现 过 程 中 ， 会 显示 Import Certificate 对 话 框 。 检 
得 设置 并 单 击 Inport。 黑 认 情 况 下 ， 会 验证 证 书 公 共 名 称 (CN)。 如 果 没 有 CN 或 者 不 匹配 ， 存 储 发 现 就 会 失败 。 

如 果 发 现 由 于 CN 而 失败 ， 请 在 VMM 服务 器 的 注册 表 中 禁用 CN 验证 。 在 注册 表 中 ， 转 到 HKEY LOCAL 
MACHINE/SOFTWARE/Microsoft/Storage Management/, 创建 一 个 新 的 DWORD 值 DisableHttpsCommonNameCheck。 
将 值 设 置 为 1。 

(7) 如 果 发 现 过 程 成 功 ， 在 发 现 过 程 结 束 时 ,会 在 页 面 上 列 出 发 现存 储 阵 列 、 存 储 池 、 制 造 厂商 、 模 型 和 容量 。 
单 击 Next。 

(8) 在 Select Storage Device 屏幕 上 ， 可 为 每 个 人 存储 池 指 定 一 个 分 类 。 有 具有 相似 特性 的 存储 池 划 分 到 同一 个 类 别 
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中 ， 以 便 将 分 类 指定 为 主机 或 集群 的 存储 ， 而 不 是 特定 的 存储 设备 。 
(9) 在 Summary 页 面 上 ， 确认 人 设置， 然后 单 击 Finish。 此 时 会 出 现 Jobs 对 话 框 。 当 状态 是 Completed 时 ， 可 以 
在 Fabric | Storage 中 验证 该 存储 。 


12.2.12 创建 虚拟 机 


满足 了 VMM 的 所 有 需求 后 ， 就 该 为 Windows Server 2016 创建 第 一 个 虚拟 机 了 。 为 此 ， 需 要 了 解 提 供 VM 的 过 程 。 
要 创建 虚拟 机 ， 请 执行 以 下 步 又 : 

(1) 打开 VMM 控制 台 。 

(2) 选择 VMs and Services | Create Virtual Machine， 如 图 12.23 所 示 ， 然 后 单 击 Create Virtual Machine。 
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图 12.23 创建 虚拟 机 


(3) 选择 Create Virtual Machine Wizard | Select Source， 单 击 Create the new virtual machine with a blank virtual 
hard disk， 如 图 12.24 所 示 ， 然 后 单 击 Next。 


而 Create Virtual Machine Wizard 
Select Source 


Select Source | select the source for the new virtual machine 
ldentty es 
4 Use an extsting virtual machine, VM termplate or vrtual hard disk 
Contigure Harcdhrare Pp 
Select Destination Wm Create the new virtual machine with a blank virtual hard disk 
eject Cloud 
Add Progperties 


Si mmeary 


i lf yeu use a VM template, You can customize the hardware and operating system settings. If you use a stoned 
rtual mechine or & virtual hard disk, yeu con only customize thve hardware settings. To be mecessed, 而 virtual hard 
dhsk must be stored m the library. 


12.24 ”使 用 空白 虚拟 硬盘 创建 新 虚拟 机 
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(4) 在 Identity 屏幕 上 , 指定 VM 名 称 和 可 选 的 描述 信息 。 在 Generation 框 中 , 选择 Generation 1 或 Generation 2， 
如 图 12.25 所 示 ， 然 后 单 击 Next 按钮 。 


Create Virtual Machine Wizard 


Identity 


Select SoUrce specify Virtual Machine ldentity 
| don 


|! Virtual machine names |DC03 
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Summary 


Li The virtual machine name identifies the virtual machine to VMM. The name does not have to match the computer 
name of the wirtual machine, However, using the same name ensures consistent displays in Systerm Center 


Operations Manager. 


I Generastion 1 virtual machines hove capabilities that were previoushy supported by Windeows Server 2012 snd other 
host operating ystems, Gerneration 2 vittual machines have new capabdlities, such as support for the Untied 
Extensible Firmyare Inberface (UEFN, and the ability to boot im ways that generation 1 wirtual machines coulkd mot 
For generation 2 virtual machines, the host must run Windows Server 2012 Ra or later, 


Learm about supported guest operating systems for generation 2 virtual machines 


| 
12.25 ”指定 虚拟 机 标识 


(5) 在 Configure Hardware 屏幕 上 ， 如 图 12.26 所 示 ， 从 硬件 配置 文件 列表 中 选择 要 使 用 的 配置 文件 , 或 者 手动 
配置 硬件 设置 。 显 示 的 硬件 设置 将 因 部 普 的 是 第 一 代 还 是 第 二 代 机 器 而 异 。 完 成 后 ， 单 击 Next 按钮 。 
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12.26 ”配置 硬件 


如 果 要 将 虚拟 机 部 署 到 私有 云 ， 请 选择 私有 云 可 用 的 功能 配置 文件 。 
在 总 线 配置 中 ， 如 果 希 望 从 DVD 或 ISO 映像 中 安装 操作 系统 ， 请 确保 将 虚拟 DVD 驱动 器 配置 为 使 用 可 用 选 
项 ， 例 如 Existing ISO Image File 选项 。 如 果 想 使 用 ISO 映像 文件 ， 那 么 该 文件 必须 出 现在 VMM 库 中 。 
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如 果 希 望 在 将 虚拟 机 部 署 到 主机 之 前 ， 将 其 存储 在 VMM 库 中 ， 请 使 用 VMM 库 中 默认 提供 的 一 个 空白 虚拟 硬 
盘 。 单 击 总 线 配置 中 的 VHD( 虚 拟 硬盘 )。 选 择 Use An Existing Virtual Hard Disk | Browse， 选 择 空白 硬盘 。 

如 果 虚 拟 机 是 第 1 代 ， 从 网 络 中 引导 来 安装 操作 系统 ， 则 使 用 旧 的 网 络 适 配器 头 型 。 

(6) 在 Select Destination 页 面 上 ， 如 图 12.27 所 示 ， 指 定 虚 拟 机 应 该 如 何 部 着 一 一 在 私有 云 中 、 主 机 上 或 库 中 
存储 。 


Create Wirtual Machine Wizard 


select Destination 


Choose whether to deploy or store the virtual machine, 


Deploy the virtual machine to a prmvate cloud 


Copies the files assoriated with the virtual machine to the virtual machine host that you designate. You can 
then start the virtual machine immediately if desired. 


Sore the virtual mechine in the library 


Shores the virtual machire In the library for later Use. Hefore yau can start the virtual machine, you must 
deploy it on & host or cloud, 


图 12.27 选择 目的 地 


12.3 用 System Center Operations Manasger 管理 Windows 
Server 2010 


本 市 将 重点 介绍 System Center Operations Manager， 它 提供 对 不 同 工 作 负载 (如 服务 、 设 备 和 操作 ) 的 主动 和 被 动 
监控 。 这 是 通过 公开 一 组 关键 的 健康 指示 器 (如 性 能 和 可 用 性 ) 来 实现 的 ， 这 些 指示 器 可 用 于 确保 ， 操 作 控 制 全 中 显 
示 的 信息 反映 了 在 数据 中 心 、 私 有 云 或 公共 云 中 运行 的 关键 业务 应 用 程序 的 预期 健康 状况 。 企 业 无 论 大 小 ， 通 常 都 
依赖 其 计算 环境 提供 的 服务 和 应 用 程序 。IT 部 门 负责 确保 这 些 关 键 服务 和 应 用 程序 的 性 能 和 可 用 性 。 这 意味 看 需要 
知道 什么 时 候 会 出 现 问 题 ， 这 样 才 能 找 出 问题 的 原因 ， 最 好 是 在 用 户 遇 到 问题 之 前 束 找 到 原因 。 企业 中 的 计算 机 和 
设备 越 多 ， 这 项 任务 就 越 具 有 挑战 性 。System Center Operations Manager 是 一 种 工具 ， 可 以 帮助 组 织 度 量 监视 数据 
中 心 的 成 本 ， 而 不 考虑 被 监视 的 工作 负载 。 


12.3.1 _ Operations Manager 的 基础 架构 


安装 Operations Manager 时 ， 会 创建 一 个 裳 理 组 。 管 理 组 是 功能 的 基本 单元 。 管 理 组 至 少 由 管理 服务 器 、 操 作 
数据 库 和 Data Warehouse 数据 库 组 成 。 如 果 安 装 了 SQL Server Reporting Services， 则 可 以 添加 报表 组 件 。 


1. 管理 服务 器 

管理 服务 器 是 对 管理 组 与 数据 库 通 信 进 行 管理 的 重点 。 安 装 的 第 一 个 管理 服务 器 称 为 RMSE( 根 管理 服务 器 模 
拟 器 )。 从 SCOM 体系 结构 的 观点 看 ， 每 个 管理 服务 器 都 运行 三 个 服务 ， 它 们 构成 了 Operations Manager 的 核心 功 
能 。 这 三 个 服务 是 配置 服务 、 健 康 服务 和 SDK( 软 件 开发 工具 包 ) 服 务 。 配 置 服务 决定 健康 服务 将 管理 什么 ， 并 跟踪 
健康 服务 的 配置 。 为 能 够 访问 数据 库 ， 配 置 服务 需要 运行 SDK 服务 。 这 种 数据 库 访问 也 用 于 多 种 目的 ( 当 打 开 操作 
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控制 台 时 ， 当 使 用 操作 shell 时 ， 甚 至 当 其 他 应 用 程序 或 服务 需要 数据 库 访问 时 )。 这 是 通过 连接 到 选 定 管理 服务 器 
的 端口 5724 来 完成 的 ;但 请 记 住 ， 在 分 布 式 环境 中 ， 任 何 管理 服务 器 都 可 以 服务 于 控制 台 连 接 。 根 据 计 算 环境 的 
大 小 ， 管 理 组 可 包含 单个 管理 服务 器 或 多 个 管理 服务 器 。 


2. 数据 库 

操作 数据 库 ( 通 常 称 为 Operations Manager) 包 含 管 理 组 的 所 有 配置 数据 , 它 存储 管理 组 收集 和 处 理 的 所 有 监控 数 
据 。 默 认 情 况 下 ， 操 作 数 据 库 将 短期 数据 保留 7 天 。 这 些 值 可 以 在 SCOM(System Center Operations Manaeger) 操 作 控 
制 台 上 修改 。 

Data Warehouse 数据 库 是 一 个 SQL Server 数据 库 ， 存 储 用 于 历史 目的 的 监视 和 警报 数据 。 写 入 Operations 
Manager 数据 库 的 数据 也 写 入 Data Warehouse 数据 库 ， 因 此 报表 总 是 包含 当前 数据 。Data Warehouse 数据 库 保 留 长 
期 数据 ， 默 认为 400 天 。 

这 两 种 情况 下 ， 保 留 期 取决 于 数据 的 类 型 (Alert、State、Event、Aem、Perf)。 对 于 Data Warehouse 数据 库 ， 还 
包括 聚合 类 型 (原始 数据 、 每 小 时 聚合 、 每 日 聚合 )。 要 修改 这 些 值 ， 可 以 编辑 StandardDatasetAggregation 表 ( 在 
OperationsManagerDW 数据 库 上 )， 更 新 选 定 数据 集 的 MaxDataAgeDays 列 ， 这 将 更 新 相应 的 保留 期 。 


3. 代理 

在 System Center Operations Manager 中 ， 代 理 是 安装 在 Windows 计算 机 上 的 服务 。 对 于 任何 组 件 而 言 ， 方 法 
都 是 相同 的 。 如 果 必 须 监视 一 个 对 象 ， 则 该 对 象 所 在 的 机 器 需要 找到 一 种 方法 来 标识 最 终 将 被 发 现 和 收集 的 数据 。 
Microsoft Monitoring Agent 就 是 实现 这 一 目标 的 途径 。 它 最 初 设 计 为 工作 流 代 理 ;， 现 在 由 多 个 应 用 程序 (Operations 
Management Suite、Team Foundation Server 等 ) 用 作 分 析 器 。 它 基本 上 从 托管 实体 中 捕 提 信息 ， 然 后 将 机 制 应 用 于 捕 
获 的 数据 (如 规则 和 监视 器 )， 最 后 执行 操作 (例如 生成 警报 ， 填 充 视图 等 )。 和 党 理 服务 器 接收 配置 ， 并 分 发 到 被 监视 
计算 机 上 的 代理 。 

每 个 代理 同 管 理 组 中 的 管理 服务 器 报告 。 此 管理 服务 器 称 为 代理 的 主管 理 服务 器 。 

代理 但 看 被 监视 计算 机 上 的 数据 源 ， 并 根据 管理 服务 器 发 送 给 它 的 配置 来 收集 信息 。 代 理 还 计算 被 监控 计算 机 
和 被 监控 计算 机 上 的 对 象 的 健康 状态 ， 并 癌 管 理 服务 器 报告 。 当 监视 对 象 的 健康 状态 友 生 变化 或 满足 其 他 条 件 时 ， 
可 以 从 代理 中 生成 警报 。 这 让 操作 员 知 道 需要 注意 茶 件 事情 。 通 过 加 管理 服务 器 提供 关于 被 监视 对 象 的 健康 数据 ， 
代理 提供 设备 的 健康 状况 及 其 所 承载 的 所 有 应 用 程序 的 最 新 信息 。 


4. 服务 
在 System Center Operations Manager 中 ， 每 个 组 件 都 有 一 个 具有 特定 用 途 的 关联 服务 。 本 节 将 首先 从 党 理 服 务 
器 的 角度 ， 然 后 从 代理 的 角度 ， 摘 述 所 有 服务 之 间 的 交互 。 
如 前 所 述 ， 提 供 管 理 服务 器 的 核心 功能 的 三 个 服务 是 Microsoft 监视 代理 、 配 置 服务 和 SDK 服务 。 现 在 讨论 这 
些 服务 的 功能 : 
令 ”每 次 配置 服务 局 动 时 ， 都 会 评估 环境 的 配置 状态 。 在 此 之 后 , 任何 更 新 都 会 相应 地 推送 到 受 影响 的 健康 服 
务实 例 。 下 面 是 一 个 cookie。 该 cookie 将 进行 比较 ， 一旦 识别 出 delta， 莽 编译 新 的 cookie， 并 更 新 受 影 
啊 的 健康 服务 。 
令 ”SDK 服务 负责 传输 进出 数据 库 的 所 有 数据 ， 并 执行 函数 。 如 提供 对 数据 库 的 访问 (通过 控制 台 )， 写 入 信息 
( 写 事 件 、 状 态 、 性 能 数据 )， 并 寻 入 党 理 包 。 
分。 健康 服务 提供 整体 功能 ， 如 执行 工作 流 和 对 器 到 端 监控 的 总 体 文 持 。 它 最 初 设计 为 一 个 通用 的 执行 环境 ， 
而 现在 这 种 方法 通过 添加 概要 分 析 功 能 ， 更 进 了 一 步 。 
令 ”在 监控 计算 机 上 ,Operations Manager Agent 被 列 为 Microsoft Monitoring Agent Service。Microsoft Monitoring 
Agent Service 收集 性 能 数据 ， 执 行 任务 等 。 即 使 服务 无 法 与 它 所 报告 的 管理 服 务 器 通信 ， 它 仍然 可 以 执行 
健康 检测 、 恢 复 任务 等 活动 。 该 服务 继续 运行 ， 并 将 收集 到 的 数据 和 事件 在 被 监视 计算 机 的 磁盘 上 进行 排 
队 。 健 康 服务 的 其 他 一 些 功能 包括 添加 /删除 管理 包 、 基 于 这 些 管理 包 更 新 工作 汶 、 管 理工 作 流 使 用 的 赁 
证 ， 以 及 处 理 监 视 器 的 状态 。 


5. 管理 包 
管理 包 包含 建 模 对 象 的 定义 。 它 是 对 象 的 容器 ， 可 用 于 逻辑 地 定义 任何 需要 的 组 件 和 关键 指标 。 管 理 包 还 用 于 
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在 环境 之 间 移 动 配 置 。 有 两 种 类 型 的 管理 包 : 密封 的 (只 读 的 ， 通 利 由 供应 商 提 供 ) 和 非 密封 的 ， 它 们 通过 更 改 其 配 
置 来 扩展 密封 管理 包 的 功能 。 从 SCOM 控制 台 上 创建 的 任何 新 管理 包 都 创建 为 非 密封 的 , 密封 的 管理 包 是 只 读 的 (或 
SCOM 安装 的 包 ， 或 可 下 载 的 包 )。 只 有 SCOM 管理 员 可 以 看 到 导入 的 管理 包 列 表 。 

管理 包 定 义 的 工作 流 由 System Center 管理 服务 运行 。 管 理 包 定义 的 信息 是 代理 为 特定 应 用 程序 或 技术 收集 的 ， 
并 返回 给 管理 服务 器 。 例 如 ，Windows Server 2016 管理 包 包 含 的 规则 和 监视 器 ， 会 收集 、 评 估 重 要 的 事件 和 操作 ， 
以 确保 Windows Server 2016 角色 和 应 用 程序 的 健康 和 效率 。 

Operations Manager 在 计算 机 上 安装 了 代理 后 ， 它 将 最 初 的 配置 发 送 给 代理 。 最 初 的 配置 包括 从 管理 包 中 发 现 
对 象 ， 管 理 包 定义 了 对 象 的 类 型 ， 例 如 应 用 程序 和 特性 ， 这 些 对 象 在 Operations Manager 已 经 发 现 的 计算 机 上 进行 
监视 。 代 理 将 数据 发 送 到 管理 服务 器 ， 访 服务 器 识别 在 计算 机 上 发 现 的 对 象 的 实例 。 


12.3.2 ”安装 先决 软件 


如 前 所 述 ， 理 解 实现 System Center 2016 系列 产品 所 需 的 不 同 需求 非常 重要 一 一 Operations Manager 也 不 例外 。 接 下 
来 将 使 用 在 集群 上 创建 的 一 个 数据 库 实例 和 报表 服务 器 中 的 一 个 报表 实例 。 我 们 还 将 配置 Web 控制 全 的 先决 软件 。 


| Ey 二 在 万 
1. 安 妆 Web 控制 全 先决 软件 
要 安装 Web 控制 全 先决 软件 ， 请 执行 以 下 步骤 。 
(1) 打开 PowerShell 并 输入 以 下 内 容 : 
Import-Module ServerManager 
注意 ， 在 PowerShell 中 ， 每 个 命令 之 后 都 需要 按 回 车 键 。 
(2) 输入 以 下 内 容 ， 如 图 12.28 所 示 : 
Add-WindowsFeature Web-Server, Web-WebServer, Web-Common—Http, Web-Default— 
Doc, Web—Dir-Browsing, Web—Http-Errors, Web-Sstatic-Content, Web-Health, 
Web-Http-Logging, Web-Log-Libraries, Web—Request—~-Monitor, Web-Performance, 
Web—stat—Compression, Web—Security, Web—Filtering, Web-Windows—-Auth, Web—App— 
Dev, Web—Net—-Ext42, Web-Asp-Net45, Web—-ISAPI-Ext, Web—-ISAPI-Filter, Web—Momt— 
Tools, Web—-Momt—Console, Web—Moqgmt—Compat, Web—-—Metabase, NET-Framework—4o— 
Features, NET-Framework—45—Core, NET-Framework—-45—ASPNET, NET-WCF—Servicesd49, 


NET-WCF—HTTP—-Activation4dy, NET-WCF-—-TCP-PortSharing42, WAS, WAS-Process—Model, 
WAS—Config—-APIs, web-asp—net restart 


厅 Administrator: Windows Powershell 


ps CnUsers‘\adumnistrator.tORp Imp IOP Mogul Ee" Manager 

ps CUsers\administrator. CORP> Add-WindowsFeature Web-Server, Web-WebServer, Web-Common- Http, Web-Default-Doc | P 一 
Browsing, Web-=Http-= Errors Web-Stat1 《 -并 a 二 ， We 日- -He salth Web- Http- Loc ging, Web-Log-Libraries, Web- -Reques t -Monitor eb 
Pertormance, Web Stuts mpres sio nn ,Web-Secur1ty eh=EF1 ltering, Web-=Whndow Au LU 二 的 Heb=App Dev Web=Net=Ext45 ， Web=As 3 | 
t45, Web=ISAPI=Ext 本 了 API- Filter, "eb -Mogm -Too 5,， 导 i 让 一 避 so01 e, Web-Mgmt -Co ompat ， Web=h Netabase, NET-Framewor Pk- -45 


| "Es, NET- Fr amework—d45 -Core, N Framewor Te h 1CEes ; NE T-WCF-HTTP-Actiwationd4s, NET-WCF-TC 
rtSsharingds, WAS WAS Prg ee s-Model, WAS-Conf1g-APIs, web-as 和 GE 


UCCEeEsS Res start Needed Exw1t | Feature Result 


ps CnUsersv admnistrator. oRp: 


图 12.28 通过 PowerShell 安装 Web 控制 台 先决 软件 


2. 安装 SQL CLR 类 型 

要 安装 SQL CLR 类 型 ， 请 执行 以 下 步 又 : 

(1) 进入 https://www.microsoft.com/en-us/download/details.aspx?id=42295。 
(2) 单 击 Download， 并 选择 ENU\x64\SQLSysClrTypes.msi。 

(3) 双击 SQLSysClrTypes.msi， 使 用 向 导 中 的 默认 选项 。 


要 安装 报表 查看 器 ， 请 执行 以 下 步 又 : 
(1) 从 https://www.microsoft.com/en-us/download/details.aspx ?id=45496 下 载 报 告 查看 器 。 
(2) 双击 MSI 包 并 单 击 Run。 
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(3) 使 用 向 导 中 的 默认 选项 完成 同 导 。 


4. 安 逆 单 服务 刁 管 理 组 配置 

要 安装 单 服 务 器 管理 组 配置 ， 请 执行 以 下 步骤 ; 

(1) 使 用 具有 本 地 管理 权限 的 账户 登录 到 服务 器 。 对 于 本 例 ， 使 用 一 个 名 为 SC04 的 VM。 

(2) 导航 到 System Center 2016 Operations Manager 安装 介质 所 在 的 文件 来， 并 运行 Setup.exze。 单 击 mstall， 如 
图 12.29 所 示 。 


Operations Manager 


System Center 2016 


Operations Manager 


Instal| 
[ Download the latest updates to the setup program 


Optional Installations Additional Resources 
Local agent Release Notes 

Audit collection services Installatren Gurdance 
Gateway management server supported Configurations 
Audit Collection Services for UNIX/Linux Product Docurmentation 


Operations Manager Communrty 


Copyright @ 206 Microsoft Al rights [ESerwed 


图 12.29 ”初始 安装 屏幕 


(3) 在 Select features to install 窗口 中 ， 选 择 要 安装 的 功能 并 单 击 Next， 如 图 12.30 所 示 。 
(4) 在 Select installation location 窗口 中 ， 选 择 要 安装 的 文件 炎 。 本 例 选 择 默认 文件 光 ， 捍 击 Next， 如 图 12.31 
所 示 。 
Operations Manager Setup 
Getting Started 
Bl | | | 
Select features to install 
li the operating system on this computer is not supported for one of the features the feature cannot be installed. 
Expand all 
回 Management server 
Operations console 


WEb console 


Reporting server 


Supported Configurations 


图 12.30 选择 要 安装 的 SCOM 功能 


(5) 在 Proceed with Setup 窗口 中 ， 单 击 Next， 如 图 12.32 所 示 。 
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图 12.31 选择 Operations Manager 的 文件 夹 位 置 


图 12.32 ”验证 先决 条 件 已 通过 检查 


(6) 在 Specify an installation option 窗口 中 ， 确 保 启 用 了 Create the first management server in a new management 
group， 并 单 击 Next， 如 图 12.33 所 示 。 


12.33 ”指定 管理 组 
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(7) 在 Please read the license terms 窗口 中 ， 盘 看 许可 条 球 ， 单 击 I have read, understood, and agree to the license 
terms， 如 图 12.34 所 示 。 


Operations Manager Setup 


Configuration 


EGG | | 
Please read the license terms 


MICROSOFT EVALUATION SOFTWARE LICENSE TERMS 
MICROSOFT SYSTEM CENTER 2016 STANDARD 


These license terms are an agreement between Microsoft Corporation (or based on where you live, one of its 
affiliates) and you. Please read them. They apply to the evaluation software named above, which includes the 
media on which you received it, if any. The terms also apply to any Microsoft 


updates, 
supplements, 
Internet-based services, and 
support serces 
for this software, unless other terms accompany those items. If so, those terms apply. 


By using the software, you accept these terms. If you do not accept them, do not use the 
software. 


As described below, using some features also operates as your consent to automatic updates 


rd ls a a i re er Fr Tr ren ia 惠 有 rar 


| have read, understood, and agree with the license terms 


Read our privacy staterment Prinit,, 


| Net> | 
图 12.34 ”微软 软件 许可 条 款 


(8) 在 Configure the operational database 窗口 中 ， 键 入 SQL Server 实例 的 名 称 ， 验 证 各 个 字段 是 否 显 示 了 正确 
数据 ， 然 后 单 击 Next， 如 图 12.35 所 示 。 


Operations Manager Setup 


Configuration 
| 


Configure the operational database 
Before you click Next werify the database name, the nstance name, and the Port Ensure that you have sufficient permissions on 
the database instance, 


Server name and instance name: SQL Server port 
localhost [01433 


Format server name\instance name 


Database name: Database size (MB): 


DperationsManager 1000 


Data file folder: 
CA\Program Files\Microsoft SQL Serve\MSSQL13.MSSQLSERVER\MSSQLDDATA, 


Log file folder: 
C\Program Files\Microsoft SQL Serve\MSSOQL13.MSSOQOLSERVERMSSALD DATAN 


[ae |[ Neas [ee | 


图 12.35 配置 操作 数据 库 


(9) 在 Configure the data warehouse database 窗口 中 , 键入 SQL Server 实例 的 名 称 ， 验 证 各 个 字段 是 否 显示 了 正 
确信 息 ， 然 后 单 击 Next， 如 图 12.36 所 示 。 

(10) 在 SQL Server instance for reporting services 窗口 中 ， 验 证 选择 了 正确 的 实例 ， 然 后 单 击 Next， 如 图 12.37 
所 示 。 

(11) 在 Specify a website for use with the Web console 中 ， 查 看 信息 并 单 击 Next， 如 图 12.38 所 示 。 
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program Files\Microsoft SQL ServemMSSCL13.MSSOGLSERWERNWSSOGQLVDATAY 
人 Prograrm Files\Microsoft SQL Serve MSSQL13.MSSQLSERVER MSSQADNDATA, 


图 12.36 配置 数据 库 


12.37 配置 报表 服务 实例 


12.38 指定 Web 控制 台 的 网 站 
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(12) 在 Select an authentication mode for use with the Web console 窗口 中 ， 保 留 默认 值 并 单 击 Next， 如 图 12.39 
所 示 。 


Operations Manager Setup Xx 


12.39 选择 身份 验证 模式 


(13) 在 Configure Operations Manager Accounts 窗口 中 ， 键 入 已 定义 的 账户 的 登录 信息 并 单 击 Next， 如 图 12.40 
所 示 。 


Operations Manager Setup 


图 12.40 配置 服务 账户 
如 果 使 用 的 是 域 管 理 员 的 账户 ， 可 能 会 得 到 如 图 12.41 所 示 的 警告 。 此 时 ， 单 击 OK 继续 。 


314 精通 Windows Server 2016( 第 6 版 ) 


Operations Manager Setup 


A Setup detected thatthe action account specified is a domain 
A administrator account. For secunty reasons, this Is not recommended. 
See the Operations Manager deployrment documentation for more 


information,. 


图 12.41 如 果 用 域 管理 员 的 权限 建立 账户 ， 就 可 能 出 现 这 个 警告 


(14) 在 Diagnostic and Usage Data 窗口 中 ， 查 看 信息 并 单 击 Next， 如 图 12.42 所 示 。 


Operations Manager Setup 


Configuration 


Diagnostic and Usage Data 


Ifyou use thss Operations NManager console to connect to a Operations Manager management server that rs sending Diagnostic 
and Usage Data to Microsoft, the Operations Manager console will also send this data. 


Microsoft automatically collects Usage and performance data owver the internet (“Data’). Microsoft uses this Data to provide and 
improve the quality, security and integrity of Nlicrosoft products and services. For example, we analyze performance and 
reliability, such as what features you use, how quickly the features respond, device performance, user interface interactions, and 
any problems you experence with the product. Data will alse include information about the configuration of your software like 
the sofbware version you are currenthy running, and the IP sddress. 

Choice/ControkThis feature is on by default. Administrators San turn eff this feature anytime by changing the setting found in 
the Settings workspace of the Operations Manager console. This Notice replaces the Customer Expenence Improvement 
Program (CEIP) desecription in the Operations Manager section of the Privacy Statement. All other sections of the Privacy 
tatement apply. 


Priwacy Staterment for System Center Operations Manager 


eious || Net> || Cancel | 


12.42 System Center Operations Manager 的 诊断 和 使 用 数据 的 免责 声明 


(15) 在 Installation Summary 窗口 中 ， 查 看 选项 。 如 果 一 切 正 常 ， 单 击 Install， 如 图 12.43 所 示 。 


Operations Manager Setup 


Configuration 


; 


Installation Summary 
Review your selections for the features that you are installirg. To continue click Install. To change your selections, click 
Previous. 


Installation locatron: 
CAProgram Files\M Microsoft System Center 2010\0perations Manager 


Management group name: 

CONTOSO 

Operational database: 

DperationsManager will be created on OM 10WS 16 
Database size (ME) 

1000 

Data warehouse database: 

DperationsManagerDW will be created on OMTOWS16 
Data warehouse database size (MB): 

1000 


Reporting server and instance: 
OMI6WS16 


图 12.43 ”安装 摘要 信息 


(16) 在 Setup is complete 窗口 中 ， 单 击 Close， 如 图 12.44 所 示 。 
(17) 一 旦 安装 了 产品 ， 就 需要 使 用 所 提供 的 序列 号 激活 它 。 为 此 ， 在 管理 服务 器 上 打开 PowerShell， 以 党 理 员 
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身份 运行 它 ， 如 图 12.45 所 示 。 


国 Dperatiens Manager Setup A 


Complete 


Setup Is complete 
Please review the installation results. You can repair or add features by restarting Setup. 


Wp Initial configuration 
WW Operational database configuration Release Notes 


Management senver Installatian Guide 


Management server warning: 

An evaluation verson of OQperations Manager was successtully installed. Is 
properly llcense Operations Manager, use the Set-SsCOMLecense cmdlet. More 
Infermatran sn this cmdlet 5 avalable in the Operations Manager Cmdlet 
Reference n the TechNet library. 

Fer more mformatron, view the Setup Is 


Read Documentatien 


System Center OQnline 


Data warehouse configuration 
@ Operations console 
总 Web console 


[L | Launch Microsoft Update when the wizard closes 
[wf Start the Operations console When the wizard closes 


12.44 包含 安装 细节 的 安装 结果 窗口 


Microsoft System Center 2016 全 Server Manager Powel 
New 


Application Advisor 


任 


Application Dagnostics 
Ne Windows 


Administratiy... Taskh 
Operations Console 


Operations Manaoger Shell 


下 网 | 习 [习习 匡 


Web Console -3 Pin to Start 


More 


Uninstall 
Search 


server Mlanager 
Settings 届 Runas Administrator 
Run |SE as Adrministrator 


Techsmith = Windows Powershell |$E 
En 


图 12.45 选择 Operations Manager shell， 激 活 System Center Operations Manager 


import-module operationsmanager 
Get—-SCOMManagementGroupConnection | Set-SCOMManagementGroupConnection 
Set—SCOMLicense —Productld xxxxx—XXXXX—KXXXXAX— XANAXAX— XXXXAX 


单 击 Y 了 确认 。 
操作 完成 后 ，System Center Data Access Service 必须 在 管理 组 的 Operations Manager 管理 服务 器 上 重新 启动 ( 见 
图 12.46)。 
EB Administrator: Operations Manager Shall 


Corfi rm 


12.46 重新 启动 System Center Data Access Service 
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(18) 服务 器 重新 局 动 后 ， 打 开 控 制 侣 ， 单 击 Help， 然 后 选择 About。 此 时 应 该 会 显示 System Center Operations 
Manager 版 本 (Retail)， 如 图 12.47 所 示 。 


时 是 Microsoft 


System Center 2016 


Operations Manager 


© 2016 Microsoft. All nghts reserved. 


This product is licensed to: 


Product ID: 
Product version: 7.2,11719.0 (Retail) 
Privacy Statement 


Warning: This computer program is protected by copyright law and 
intemational vaaties. Unauthoread raproducten er diswibutden et this 
program, or arny portion of it, may result n severe civil and criminal penalties, 
and will be prosecuted to the madimum extent possible under the law. 


12.47 验证 System Center Operations Manager 被 激活 


5 安装 Windows Server 管理 包 
要 安装 Windows Server 管理 包 ， 请 执行 以 下 步骤 : 
(1) 局 动 Operations Management 控制 台 ， 导 航 到 Administration 部 分 ， 如 图 12.48 所 示 。 


Discovery Wizard... 


Create Management Pack 
Download Management Packs .,. 


Import Management Packs... 
New User Role 


Create Run As Account... 
Create Run As Profile.,., 


New channel 
New subscriber,,. 


New subscription... 
Add Management Group 
Create Maintenance Schedule 


Refresh 


Discovery Wizard... 


最 Monitoring 
A Authoring 
i Reporting 
ev Administration 


12.48 ”启动 癌 导 以 导入 管理 包 


(2) 在 Import Management Packs 窗口 中 ， 单 击 Add 并 选择 Add from catalog， 如 图 12.49 所 示 。 
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嘱 Import Management Packs w 


攻 : = Select Management Packs 


Select 则 anagement Packs 大 Halp 


4Add- NN Properties ,.. XX Remove 


Add from catalog .. 


Add from disk ,,, 


12.49 ”为 管理 包 选 择 源 


(3) 在 Select Management Packs from Catalog 窗口 中 ， 键 入 core os 2016 并 单 击 Search， 如 图 12.50 所 示 。 


二 Select Management Packs from Catalog 


Select one or more mansgement packs in the catalog list and click 上 Add. = | 
Find - View connetion certificate 


View : 


间 management packs in the catalog ~ 
| Seareh | 


Management packs in the catalog [本 Properties ... 


| Name | Status | Version | Release Date | Information A 
二 Co O05 2016 

Windows Server 2016 Operating System (Discovery) Not instaled 10.0.8.0 11/302016 

Windows Server 2016 Operating System (Monitoring) Nat instaled 10.0.8.0 117307016 

Windows Server Cluster Disks Menitoring Not instaled 10.0.8.0 11302016 

Windows Server Operating sytem Library Update available 100.80 T1130/2016 

Windows Server Operating System Reports Net installed 10.0.8.0 11302016 

bb Chinese (Simplfied) 

Bb Chinese (Trediionall 


Helease Date 


| 和 | 


图 12.50 碍 找 目录 中 的 管理 包 
(4) 突出 显示 要 部 署 的 管理 包 。 确 你 没有 选择 任何 语言 包 ， 并 单 击 OK， 如 图 12.51 所 示 。 
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最 Select Management Packs from Catalog 


Select one or more management packs in the catalog listarnd cick Add. 


Find . View connection certificate 


View : 
MI management packs in the catalog 


Management packs in the calalog 团 Properties .. 


Name Version Release Date ClInformation 


a Core OS 2016 

Windows Server 2016 Operating System (Discovery) Net installed 10.0.8.0 11/30/2016 
Windows Server 2016 Operating System (Monitoring) Not installed 10080 11/30/2016 
Windows Server Cluster Disks Monitoring Not installed 10.0.8.0 11/30/2016 
Windows Senver Operating System Librany Update available 10.0.8.0 1173072016 
Windows Server Operating System Reports Not installed 10080 11/30/2016 
区“Chinese (Simplfied) 

5 Chinese (Traditionalh 


Selected management packs : 

Name Status Version Helease Date 
Windows Server Operating System Reports Not installed 10.0.8.0 117302016 
Windows Server Operating System Library Update available 10.0.8.0 1302016 
Windows Server Cluster Disks Monitoring Not installed 10.0.8.0 13W2016 
Windows Sermver 2016 Operating System [Monitoring) Naot installed 10.0.8.0 11302016 


me me 


图 12.51 选择 要 部 署 的 管理 包 


(5) 在 Select Management Packs 窗口 中 ， 单 击 Install 部 署 管理 包 ， 如 图 12.52 所 示 。 


时 Import Managerment Packs wx 


国 z= Select Management Packs 


Select Manacement Packs 站 
, WW Help 


虽 Add " FH Properties .. YW Remove 


Windows Senver Operating Syste... z 8 11 072016 
y Windows Server Operating Syste... 11/3072016 
J Windows Server Cluster Disks Mo... 117302016 
W Windows Server 2016 Operating ... 1173072016 


| Windows Server 2016 Operating ... 11730W2016 


This management pack is ready to import， 


12.52 概要 页 面 列 出 要 安装 的 管理 包 


(6) 在 Import Management Packs 窗口 中 ， 单 击 Close 完成 部 置 ， 如 图 12.53 所 示 。 
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电 Import Management Packs 


= Import Management Packs 


Select Management Packs 


Downloading and importing the selected management packs. 
Name Version 

Windows Server Cperating Syste.. 10.0.80 

ul Windows Server Coerating Syste.. 100.80 

Ww Windows Server Custer Disks Mo 10.0.80 

wy Windows Server 2016 Operating .. 


Windows Server 2016 Operating 


图 12.53 查看 当前 管理 包 安 装 过 程 的 状态 


12.4 使 用 System Center Configuration Manaeer 管理 Windows 
Server 2010 


本 节 将 重点 讨论 System Center Configuration Manager。 那 么 什么 是 System Center Configuration Manager 呢 ? 

作为 Microsoft System Center 管理 解决 方案 套件 中 的 一 个 产品 ，System Center Configuration Manager 可 帮助 管 
理 现 场 或 云 中 的 设备 和 用 户 。 接 下 来 将 许 细 解 释 它 是 什么 , 以 及 如 何 用 它 来 管理 Windows Server 2016。 System Center 
Configuration Manager 通常 简称 为 SCCM， 也 称 为 ConfigMgr。 它 专门 用 于 管理 大 量 Windows、macOS、Linux 和 
Unix 设备 ， 以 及 Windows Phone、Android 和 iOS 等 移动 设备 。 


12.4.1 三 个 分 支 


在 开始 之 前 ， 需 要 了 解 ConfigMgr 的 一 些 基 本 方面 。System Center Configuration Manager 有 三 个 不 同 的 分 文 ; 
那么 应 该 使 用 哪个 分 文 呢 ? 


1. 当 责 分 支 
这 个 版 本 每 年 更 新 几 次 ， 增 加 新 的 功能 。 每 个 更 新 版 本 在 皮 布 后 都 得 到 一 年 的 文 持 。 在 该 年 期 限 届满 之 日 或 之 
， 必 须 更 新 到 当前 分 文 的 更 新 版 本 。 最 新 版 本 的 更 新 可 通过 控制 台 更 新 来 获得 。 
当前 分 文具 有 以 下 特点 : 
接收 控制 台 更 新 ， 使 新 特性 可 用 。 
接收 控制 台 更 新 ， 为 已 有 特性 提供 安全 和 质量 修复 。 
必要 时 支持 带 外 更 新 。 
可 与 Microsoft Intune 和 其 他 云 计 算 服 务 和 基础 设施 进行 交互 操作 。 
文 持 和 其 他 Configuration Manager 安装 之 间 来 回迁 移 数 据 。 
支持 从 Configuration Manager 的 以 前 版 本 升级 。 
文 持 安装 为 评估 版 ， 稍 后 可 升级 到 完全 授权 的 版 本 。 
当前 分 文 更 新 过 程 基于 发 布 的 年 份 和 月 份 ; 在 撰写 本 书 时 ， 当 前 的 基线 版 本 是 1702。 
安装 。 


+ 


人 和 和 
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2. System Center Configuration Manager 的 长 期 服务 分 支 

长 期 服务 分 文 (LTSB，Long-Term Servicing Branch) 是 一 个 获得 许可 的 分 文 ， 由 使 用 当前 分 文 的 Configuration 
Manager 客户 在 生产 中 使 用 ， 但 允许 其 Configuration Manager Software Assurance(SA) 或 同等 订阅 权利 在 2016 年 10 
月 1 日 之 后 过 期 。 

LTSB 基于 1606 版 。 该 分 文 不 接收 提供 新 特性 的 控制 台 内 更 新 ， 也 不 更 新 现 有 功能 。 但 提供 了 关键 的 安全 修复 
程序 。 

LTSB 具有 以 下 特性 : 

令 ”接收 控制 台 提 供 重 要 的 安全 补丁 的 更 新 。 

分” 当 SA 协 议 或 ConfigMsgr 的 同等 权利 过 期 时 ， 提 供 了 一 个 安装 选项 。 

令 ”拥有 当前 SA 协议 或 对 ConfigMgr 的 同等 权利 时 ， 文 持 (转换 ) 升 级 到 当前 分 文 。 

LTSB 基于 当前 分 文 的 版 本 1606， 具 有 以 下 限制 : 


令 ”关键 的 安全 更 新 普遍 可 用 (2016 年 10 月 ) 后 ， 对 这 个 分 文 的 支持 到 期 后 ， 只 支持 10 年 。 

倒 ” 文 持 一 组 有 限 的 服务 器 和 客户 并 操作 系统 及 相关 技术 ， 如 SQL Server 版 本 。 

令 ”不 接收 更 新 的 新 功能 。 

令 ”不 文 持 添加 Microsoft Intune Subscription， 防 止 在 混合 型 MDM 配置 和 本 地 MDM 中 使 用 Intune。 

令 ”不 文 持 使 用 Windows 10 Servicing Dashboard、 维 修 计 划 、Windows 10 当 前 分 文 或 Curent Branch for Business。 
分 ”不 支持 Windows 10 LTSB 或 Windows Server 的 主 版 本 。 

倒 不 文 持 Asset Intelligence。 

令 ”不 文 持 基于 云 的 分 发 扩 。 

全 ”不 文 持 Exchange Online 作为 交接 器 。 

令 ”不 文 持 任何 预 发 布 特性 。 


3. System Center Configuration Manager 技术 预 宽 

技术 预览 用 于 实验 室 环境 中 ， 以 了 解 和 尝试 为 ConfigMgr 开发 的 最 新 特性 。 在 生产 环境 中 不 文 持 技术 预览 ， 也 
不 要 求 拥 有 Software Assurance License 协议 。 

技术 预览 有 以 下 特 点 : 

令 ”基于 当前 分 文 最 新 的 基线 版 本 。 

令 ”接收 控制 台 更 新 ， 将 安装 更 新 为 最 新 的 预 宽 版 本 。 

令 ”包括 正在 开发 的 新 特性 (微软 开发 人 员 希 望 得 到 反馈 )。 

令 ”接收 仅 适 用 于 技术 预览 版 分 文 的 更 新 。 

技术 预 宽 具有 以 下 限制 |: 
文 持 是 有 限 的 ， 只 包括 一 个 主 站 点 和 至 多 10 个 客户 。 
不 能 升级 到 当前 分 文 或 LITSB。 
不 文 持 使 用 迁移 ， 把 数据 导入 或 导出 到 另 一 个 ConfigMgr 安装 。 
不 文 持 升 级 ConfigMer 的 先前 版 本 。 
不 文 持 安装 为 一 个 评估 版 。 


12.4.2 了 解 站 点 服务 器 差异 


如 果 这 是 第 一 次 安装 ConfigMgr， 很 容易 就 会 不 知 所 措 。 为 防止 这 种 情况 的 发 生 ， 下 面 定 义 什 么 是 站 点 服务 器 ， 
以 及 应 该 安装 什么 站 点 服务 器 来 文 持 Windows Server 2016。 


1. 中 央 管 理 站 点 

中 央 管 理 站 点 (Central Administration Site，CAS) 适 合 大 规模 部 署 ， 提 供 了 一 个 中 央 管 理 点 ， 并 为 支持 分 布 在 全 
球 网 络 基础 设施 上 的 设备 提供 了 灵活 性 。 一 旦 安装 了 中 央 管 理 站 点 ， 就 需要 安装 一 个 或 多 个 主 站 点 作为 子 站 点 ， 下 
一 节 将 了 解 更 多 关于 主 站 点 的 信息 。 这 种 配置 是 必要 的 ， 因 为 中 央 管 理 站 点 不 直接 支持 设备 管理 ， 而 设备 管理 是 主 
站 点 的 功能 。 中 央 管 理 站 点 支持 多 个 子 主 站 点 。 子 主 站 点 用 于 直接 管理 设备 ， 并 在 管理 的 设备 位 于 不 同 地 理 位 置 时 


4 


大 小 ， 


控制 网 络 带 宽 。 
2. 主 站 点 服务 器 
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独立 的 主 站 点 适合 于 较 小 的 部 普 ， 可 用 来 党 理 设备 ， 而 不 必 安 装 其 他 站 氮 。 虽 然 独立 的 主 站 点 可 以 限制 部 署 的 


但 是 它 支 持 以 后 通过 安装 新 的 中 央 管 理 站 点 来 扩展 层次 结构 的 场景 。 有 了 这 个 站 点 扩展 场景 ， 独 立 的 主 站 所 
将 成 为 子 主 站 点 。 然 后 ,可 在 新 的 中 央 管 理 站 氮 下 安装 额外 的 子 主 站 扣 。 然 后 ， 可 为 企业 的 未 来 增长 扩展 初始 部 普 。 


3. 轴 助 站 点 服务 颖 
辅助 站 点 是 唯一 一 个 使 用 ConfigMegr 控制 台 安 装 的 站 点 ， 其 他 两 个 站 点 都 用 基线 介质 安装 。 此 站 点 只 能 安装 为 


主 站 点 下 的 子 站 点 。 这 种 站 点 类 型 扩展 了 主 站 点 的 范围 ， 以 管理 特定 位 置 的 设备 ， 该 位 置 与 主 站 点 的 网 络 连接 非常 
甚至 可 认为 ， 辅 助 站 点 扩展 了 主 站 点 ; 主 站 点 管理 所 有 客户 站 。 


4. 站 后 系统 服务 侨 和 站 点 系统 角色 

Configuration Manager 具有 不 同 的 站 点 系统 角色 ， 可 帮助 ConfigMgr 扩展 其 受 支 持 的 范围 和 设备 管理 能 力 。 
每 个 ConfigMegr 站 点 部 安 装 了 支持 管理 操作 的 系统 角色 。 在 安装 站 点 时 ， 默 认 情 况 下 会 安装 以 下 角色 : 

全 ”站 点 服务 器 角色 分 配给 安装 站 点 的 计算 机 。 

全 ”站 点 数据 库 服 务 器 的 角色 分 配给 承载 站 点 数据 库 的 SQL Server。 


令 ”使 用 其 他 站 点 系统 的 角色 是 可 选 的 ， 


只 在 想 利 用 在 站 点 系统 角色 中 激活 的 功能 时 使 用 。 任何 承载 站 点 系统 


角色 的 计算 机 都 称 为 站 点 系统 服务 器 。 
表 12.4 显示 了 可 用 的 站 点 系统 角色 及 其 功能 。 


角色 名 称 
SMS 提供 程序 
组 件 服务 器 
管理 点 
分 发 点 
基于 云 的 分 发 点 
软件 更 新 点 
报表 服务 点 


服务 连接 点 


回 退 状态 点 
状态 迁移 点 
Application Catalog 
Web 服务 点 
Application Catalog 
网 站 扣 


证 书 注册 点 


端 反 保 护 所 


表 12.4 ”站 点 系统 角色 
摘 述 

支持 控制 台 和 站 反 数 据 库 的 应 用 程序 接口 。 托 管 在 WMI 上 
托管 Configuration Manager SMS_Executive 服务 的 服务 器 ( 通 芝 是 网 站 服务 器 ) 
同 设备 和 客户 端 发 送 和 接收 通信 
为 设备 和 客户 端 提供 内 容 
使 用 Microsoft Azure 云 服 务 提供 内 容 
使 用 WSUS(Windows Server Updates Services) 管 理 软件 更 新 
使 用 SSRS(SQL Server Reporting Services) 来 创建 和 管理 报表 
管理 现场 的 移动 设备 或 带 有 Microsoft Intune 的 移动 设备 . 问 Microsoft 提 供 元 数据 ,支持 为 ConfigMgr 
层次 结构 提供 服务 
在 安装 过 程 中 收集 状态 信息 ， 以 及 从 存在 沟通 问题 的 现 有 客户 端 中 收集 状态 消息 
将 计算 机 迁移 到 新 的 操作 系统 时 存储 用 户 状 态 数 据 


回 Application Catalog 网 站 提供 软件 信息 


为 用 户 提供 Application Catalog 中 可 用 软件 的 列表 


与 运行 Network Device Enrollment Service 的 服务 器 通信 , 用 于 管理 使 用 Simple Certificate Enrollment 
Protocol (SCEP) 的 设备 证 书 请 求 

管理 Microsoft Active Protection 服务 ， 以 帮助 保护 设备 免 受 恶 意 软件 的 危害 

用 于 在 Mac 电脑 上 安装 客户 端 ， 注 册 用 现场 移动 设备 管理 的 设备 

管理 来 日 移 动 设 备 和 Mac 计算 机 的 注册 请 求 


12.4.3 ”ConfigMgr 先决 条 件 
前 面 讲述 了 站 点 服务 器 和 站 点 系统 之 间 的 区 别 ， 下 面 介 绍 每 种 角色 的 先决 条 件 。 
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1. 软件 需求 


成 功 安 浪 这 些 角 色 所 需 的 需求 列表 非常 长 。 可 在 以 下 链接 中 查看 这 些 要 求 ; 


https://docs.microsoft.com/en—us/sccm/core/plan—-design/configs/site-and-—site-—-system-—prer 


equijsites 


应 自动 完成 尽 可 能 多 的 任务 。 为 此 ， 建 议 使 用 ConfigMer Prerequisites Tool 来 安装 、 配 置 和 验证 每 个 软件 需求 。 
这 个 PowerShell 工具 是 由 Nickolaj Andersen 创建 的 (第 2 章 讨论 了 PowerShell 的 一 些 方面 )。 可 在 以 下 链接 下 载 及 使 


用 该 工具 : 


https://gallery.technet .microsoft.com/confiqgmgr—-2012-—r2-e52919cd/ 


2. 支持 的 配置 


Server Core 不 支持 作为 站 点 服务 器 .要 安装 中 央 管理 站 点 \ 主 站 点 或 辅助 站 点 服务 器 , 需要 安装 Windows Server 


2016 Full UI。 


服务 器 必须 是 域 成 员 服 务 器 ;一旦 安装 ， 就 不 能 更 改 服务 器 名 称 或 其 域 成 员 资 格 。 
每 个 站 点 系统 角色 都 有 不 同 的 支持 级 别 ， 理 解 它 们 非常 重要 ， 如 表 12.5 所 示 。 


表 12.5 支持 上 限 
支持 上 限 


70 万 台 运 行 Windows、Linux 和 Unix 的 台式 机 .; 


2.5 万 台 运 行 MAC 和 Windows CE 7.0 的 设备 
10 万 台 内 部 设备 或 30 万 台 基 于 云 的 设备 ; 


如 果 使 用 SQL Enterprise Edition， 则 支持 50 万 + 


15 万 台 运 行 Windows、Linux 和 Unix 的 台式 机 ; 
2.5 万 台 运 行 MAC 和 Windows CE 7.0 的 设备 ; 
5 万 台 本 地 设备 或 15 万 台 基 于 云 的 设备 ; 


站 点 服务 器 

总 共 102.5 万 个 客户 端 和 设备 ; 

中 央 管 理 站 点 

25 个 子 主 站 点 服务 器 ; 

主 站 友 服 务 器 每 个 子 主 站 点 有 15 万 个 客户 端 , 
总 共 17.5 万 个 客户 端 和 设备 ; 
250 个 辅助 站 点 ; 

0 250 个 分 发 点 ; 

铺 助 站 把 2000 个 推送 分 发 点 ; 

5000 个 联合 分 发 点 ; 


15 个 管理 点 ; 


1.5 万 台 运 行 Windows、Linux 和 UNIX 的 桌面 ; 
连接 到 一 个 主 站 扣 的 250 个 辅助 站 氮 ; 


单 点 管理 
3. 硬件 建议 


理解 硬件 建议 是 非常 重要 的 。 我 们 的 建议 包含 三 个 元 素 : CPU 内 核 、 物 理 内 存 和 SQL 内 存 。 本 章 提 供 一 些 关 
于 构建 一 体 化 集群 的 额外 建议 。 表 12.6 中 的 硬件 建议 使 用 了 中 央 的 SQL 或 共享 SQL Server。 


表 12.6 ”硬件 建议 


站 点 服务 器 内 存 (GB) 用 于 SQL 的 内 存 百分数 


中 央 管 理 站 点 / 主 站 点 服务 器 


8 核 16GB 
点 服务 器 


站 扩 数 据 库 服 务 器 角色 
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4. 磁盘 空间 的 建议 
在 构建 、 配置 站 点 服务 器 或 站 反 系 统 时 , 需要 知 疙 如何 设置 磁盘 驱动 器 ,以 及 对 大 小 的 期 望 值 , 如 表 12.7 所 示 。 


表 12.7 磁盘 空间 的 建议 

数据 使 用 量 最 小 磁盘 空 闪 700 000 (CAS) 
CE 
DF 
人 Tr 


12.4.4 安 沁 主 站 点 服务 兹 
了 解 到 先决 条 件 、 便 件 建 议和 磁盘 空间 建议 后 , 就 该 深入 研究 如 何 安 浪 和 配置 ConfigMgr, 来 管理 Windows Server 


2016 了 。 首 先 安 装 一 个 主 站 点 服务 器 ， 将 数据 库 添 加 到 一 体 化 集群 中 ; 一 旦 安装 了 站 点 服务 器 ， 就 配置 它 ， 并 给 出 
具体 建议 来 管理 Windows Server 2016 。 


1. 安 季 和 配置 SCCM 

登录 到 想 要 配置 的 服务 器 。 本 例 将 使 用 SC06 月 动 安装 和 配置 过 程 。 

(1) 登录 SC06， 并 从 前 面 提供 的 链接 下 载 ConfigMgr Prerequisites Too1。 该 链接 如 下 : 
https://gallery.technet.microsoft.com/configmgr-2012-r2-e52919cd/ 


(2) 下 载 后 ， 提 取 内 容 ， 并 运行 ConfigsMerPrerequisitesTool.exe， 如 图 12.54 所 示 。 


pplication Tools ConfigMgrPrerequisitesTool 2.0.1 

Home share Vieiw Manage 
小 » ThisPt > Downloads » ConfigMgrprerequisiteslool_ 2.0.1 中) 
ae 
Name Date modiied Type 
可 Quick access 一 一 - 一 
Wl Deskto ConfighMagrPrerequisitesTool B2017 11:21 AM Application 
eskto jl 

4 I 区 Invoke-ConfigMvlgrPrerequisitesTool 2.0.1 L2017 11:21 AM Windows Powers... 
d Downloads 
闸 Documents 


这 | Pictures 


MainWindow EW 11:21 AM 


Windows Markup ... 


国 This PC 


上 Network 


3 tems 1 term selected 71.5 KB 


图 12.54 


解压 文件 殉 ConfigMegrPrerequisitesTool 


(3) 一 旦 ConfigMgr Prerequisites Tool 局 动 并 运行 ， 单 击 Select A Site Type And Select A Primary Site。 然 后 在 
Download Prerequisite 文件 中 ， 选 择 Browse 并 找到 Setupdl.exe， 它 通常 位 于 X: SMSSETUP\BIN\X64 下 。 完 成 后 ， 
单 击 Install， 如 图 12.55 所 示 。 该 工具 为 Configuration Manager 主 站 点 配置 必要 的 角色 ， 并 下 载重 新 发 布 的 文件 。 

(4) 这 个 过 程 可 能 需要 一 些 时 间 来 安装 和 配置 需求 。 在 这 个 示例 中 ， 系 统 需要 配置 32 个 需求 ,如 图 12.56 所 示 。 

(5) 一 旦 过 程 完成 ， 就 可 以 准备 继续 执行 后 面 的 步 又 。 
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is 二 [Pi 


Site Configuration | Site System Roles | Active Directory | Windows ADK | WSUS | 


Select a Site type 


Download prerequisite files [optional) 


Pnimary Site En\S MSSETUP BIM NGA 


Log information -| Configuration Manager Setup Downloader 
12:17:22 PM - De 

12:17:22 PM - Su 

la:17:22 PM - St 


Finmished 


图 12.55 下 载 文件 


Confighhgr Prereqursites Tool 2.0.1 


Site Configuration | site System Roles | Active Directory | Windows ADK | WSUS 


Select a Site type 


Dewnlead prerequisite files [optienal) 


| Primary Site 


Log information 


331:35 PM - 
3135 PM - 
- [SCO6) No change needed for: Web-HTTP-Redinect 
3:31:36 PM = 
- [SCO6) No change needed for: Web-Log-Libranes 

- [SCO6) Installing Windows Feature: Web-HTTP-Tracing 


3:3136 PM 


33136 PM 
3136 Ph 


331:36 PM - 
3:31:36 PM - 
B45:53 PM - 
- [SCO6) Installing Windows Feature: UpdateServices-AP| 


3:45:55 PM 


B45:55 Ph - 
dd 55 PM = 
345:56 PIN - 
34556 PM - 


(SC06) Successfully installed: Web-WMI 
(SCO6) Installing Windows Feature: Web-HTTP-Redirect 


(SCO6) Installing Windows Feature: Web-Leg-Libranes 


(SCO06) Ne change needed for: Web-HTTP-Tracing 
(SCO6) Installing Windows Feature: UpdateServices-RSAT 
[SCO06) Successfulhy installed: UpdateSernces-RSAT 


(SCO06) No change needed for: UpdateServices-API 
GOB) Installing Windows Feature: Updatesennces-=Ll 
(SCO6) No change needed for: UpdateSernces-UI 
Successfully installed Windows Features locally on ‘SCO6 


Install 


Fimished 


图 12.56 站 后 配置 进度 


2. Active Directory 集成 和 模式 扩展 
System Center Configuration Manager 使 用 Active Directory 发 布 关 于 站 点 、 边 界 和 管理 点 的 信息 ， 以 及 其 他 必要 


的 属性 ， 以 使 客户 端 通信 顺利 运行 。 可 通过 以 下 链接 了 解 模 式 扩展 : 


到 ， 


https://docs.microsoft.com/en—-us/sccm/core/plan-design/network/schema—extensions 


如 果 已 经 为 其 他 版 本 的 ConffgMgr 扩展 了 这 个 模式 ， 就 不 需要 再 次 扩展 这 个 模式 。 
手动 扩展 模式 的 步骤 可 在 以 下 链接 找到 : 


https://docs.microsoft.com/en-us/sccm/core/plan-design/network/extend-the-active-directory— 
schema 


本 章 继续 使 用 ConfigMer Prerequisites Tool 来 扩展 模式 ， 并 创建 System Management OU。 

(1) 运行 ConfigMgrPrerequisitesTool.exe。 打 开工 具 后 ， 单 击 Active Directory 选项 卡 。 

(2) 在 Active Directory 选项 卡 上 ， 单 击 Browse 找到 extadsch.exe 工具 ， 该 工具 可 在 SMSSETUP\BIN\X64 下 找 
如 图 12.57 所 示 。 

(3) 选择 正确 的 文件 光 后 ， 单 击 Extend 以 监视 该 工具 的 日 志 信 息 部 分 的 进度 。 

(4) 如 果 有 权 创 建 System Management OU, 就 可 以 使 用 该 工具 ; 或 者 , 在 System Management Container 部 分 中 ， 


可 选择 一 个 包含 CM 服务 右 的 安全 组 ， 然 后 单 击 Configure。 
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图 configMgr Prerequisites Tool 2.0.1 一 口 的 


| Site Configuration | Site System Roles | Active Directory | Windows ADK | WSUS | 


Extend Actme Directory 
Browse for the extadsch.exe located in SMSETUP\BIM\K64 on the ConfigMegr installation media: 


EN\SMSSETUP\BIN\A G4 


System Management container 


Search for an Active Directory group to add with proper permissions to the System Management container: 


: | 


| Create the System Management container if it doesn't exist 


Conhgure 


Log information 


图 12.57 Active Directory 模式 扩展 


3. WSUS 的 要 求 

为 在 Configuration Manager 中 使 用 软件 更 新 角色 ， 需 要 Windows Server Update Services(WSUS)。 如 果 计 划 在 产 
品 中 支持 软件 更 新 ， 应 该 在 ConfigMgr Primary Site 服务 器 或 独立 服务 器 上 安装 和 配置 和 角色。 可 在 以 下 链接 中 进 一 
步 了 解 关 于 这 个 角色 的 计划 : 

https://docs.microsoft.com/en-us/sccm/sum/plan-_design/plan-for-software-updates 

下 面 使 用 ConfigMgr Prerequisites Tool 来 安装 和 配置 WSUS 服务 器 。 为 此 ， 请 执行 以 下 步骤 : 

(1) 确保 运行 并 打开 ConfigMgrPrerequisitesTool.exe， 单 击 WSUS 选项 卡 。 

(2) 在 WSUS 选项 卡 上 ， 选 中 SQL Server， 并 输入 SQL 服务 器 的 FDQN 和 实例 名 。 然 后 输入 WSUSContent 的 
路 径 并 单 击 mstall， 如 图 12.58 所 示 。 


ConfigMegr Prerequisites Tool 2.0.1 


| Srte Configuration | Site System Roles | acEtrve Directory | Windows ADK | W353Us 


Prepare for Software Update Point installation 
Select a daiabase Sption to be used when configuring WSUS., 


站 Windows Intermal Database 


图) SAL Server (FQDNY: sql.contoso.com\em SAL Server Instance name: | eM 


Specify the location used to store WSUS content data: 
DMMWSUSContent 


Log infaormatian 


12.58 ”WSUS 选项 卡 


4. 安 季 和 配置 ADK 1703 
如 果 计 划 部 署 操 作 系 统 ， 我 们 建议 在 服务 器 上 安装 ADK Windows 10 1703。 它 也 是 System Center Configuration 
Manasger 的 主要 软件 需求 之 一 。 可 从 以 下 链接 下 载 该 工具 : 


https://blogs.technet.microsoft.com/ausoemteam/2017/04/06/download-windows-adk-— — windows 一 
10-—version—1703/ 


325 


326 | 精通 Windows Server 2016( 第 6 版 ) 


要 安装 和 配置 ADK 1703， 请 执行 以 下 步 又: 

(1) 一 旦 下 载 了 adksetup.exe， 运 行 该 文件 ， 并 单 击 Download the Windows Assessment and Deployment Kit， 如 图 
12.59 所 示 。 

(2) 单 击 Next， 和 查看 Windows Kits Privacy Terms， 然 后 单 击 Next。 

(3) 接受 使 用 条 款 (EULA)， 工 具 就 开始 下 载 特性 。 

(4) 下 载 完 成 后 ， 单 击 Close。 

(5) 再 次 打开 adksetup.exe。 

(6) 单 击 同 导 ， 直 到 进入 Select the features you want to install 页 面 ， 如 图 12.60 所 示 。 选 择 需 要 安装 在 服务 器 上 
的 特性 。 


出 Windows Assessment and Deployment Wit - Windows 10 


Specify Location 


Install the Windows Assessment and Deployment Kit - Windows 10 to this computer 


Install Path: 
“BE Windows Kits\10% BroOWSe... 
二 Download the Windows Assessment and Deployment Kit = Windows 10 for installation on a separate 
computer 
Download Path: 


CAUsersidministratoN Downloads ADKI0 


Estimated disk space regquired: 
Disk space available: 


图 12.59 ”准备 下 载 
划 Windows Assessrment and Deployment Kit = Windows 10 


Select the features you want to install 
Click a feature name for more rftorimation. 


| Application Compatibiliy Tooks Volume Activation Management Tool 
ww] Deployment Tools (VAMT) 
ef) Windiews Premnstallation Environment (Windews PE cize: 10.1 MB 


国 Imaging And Configuration Designer (ICD Tools to automate and manage actwation of Windows 
mi Configuration Designer Windowws Server, and Wifice, 

er User State Migration Teol (USMT) Te vse VAMT cmdlets, Powershell 30 myust also be 
i installed. 

Volume hctivation Managerment Tool [WANT] 
| | Windows Peronmanee Toolki AMT requires a connection to SQL Server, version 2008 or 


later lincluding Express edrtiom). 
|L_| Nlicrosoft User Experience Wirtuallzation UE-.V Templaie Ger 


[| Media experience Arnalyzer 


Estimated disk space required: 4.2 GB 
Disk space available: 146.8 GB 


图 12.60 ”选择 要 安装 的 功能 


(7) 选择 所 需 的 所 有 功能 后 ， 单 击 Install 在 服务 器 上 安装 它们 。 安 装 需要 几 分 钟 的 时 间 。 
(8) 安装 完成 后 单 击 Close。 


5. 安 闻 和 配置 主 站 点 

前 面 己 经 安装 了 所 有 需要 的 软件 ， 下 面 准 备 在 服务 器 上 安装 Configuration Manager 主 站 点 ; 我 们 将 在 服务 器 安 
装 中 解释 安 猴 步骤 和 加 导 信息 。 

(1) 单 击 安装 介质 中 的 splash.hta。 

(2) 在 splash. hta 文件 中 ， 单 击 Install。 

(3) 在 Before You Begin 屏幕 上 ， 单 击 Next。 
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(4) 在 Getting Started 屏幕 上 , 在 Available Setup Options 窗口 中 选择 Install a Configuration Manager primary site， 
如 图 12.61 所 示 。 然 后 单 击 Next。 


System Center Configuration Manager Setup Wizard 


Getting Started 


Available Setup Options 


setup has not detected an existing nstallation of site server, site system, or Conhguration Manager console on th 二 
computer. 


(®) Install a Configuration Manager primary site 
[|] Use typical installation options for a stand-alone primary site 
- Install a Configuration Manager primary site 
- Use default installation path 
= Configure lacal SQL Server with default settings 
- Enable a local management pomnt for Configuration Manager 
- Enable a local distribution point for Configuration Manager 
0 Install a Configuration Manager central administration site 
Upgrade this Confguraton Manager site 
Recover a site 
Perform site maintenance or reset this site 


Uninstall this Configuration Manager site 


12.61 可 用 的 安装 选项 


(5) 如 果 可 用 ， 请 输入 产品 密 钥 。 如 果 不 可 用 ， 可 选择 将 站 点 安装 为 评估 版 (评估 期 约 180 天 )。 为 支持 当前 分 
文 ， 选 择 一 个 Software Assurance 日 期 。 选 择 未 来 几 年 的 一 个 日 期 以 获得 最 好 的 支持 ， 然 后 单 击 Next。 

(6) 在 Product License Terms 屏 们 上， 接受 所 有 许可 条 球 ， 然 后 单 击 Next。 

(7) 在 Prerequisites 下 载 中 ， 选 择 Use Previously Downloaded File， 因 为 前 面 执 行 了 这 个 步 又。 如果 还 没有 下 载 
它们 ， 请 单 击 Download The Required Files， 然 后 单 击 Next。 

(8) 在 Server Language Selection 屏幕 上 ， 如 图 12.62 所 示 ， 需 要 选择 公司 支持 的 语言 ， 并 单 击 Next。 


System Center Configuration Manager Setup Wizard 


Server Language Selection 


和 


Select the server languages that Configuration Manager displays in the Configuration Manager console and reports, 


Configuration Manager installs support for the languages that you select and uses the display language of the 
server that runs the Configuration Manager console or reports, English is the default language and tt is used when 
Configuration Manager does not suppert the display language. 


You can modify the server languages if you run Setup again and select the Site Maintenance option, 


Currenthy supported Languages: 


Name Availability Statbe 


Chinese (Simplified)} Downloaded 
Chinese (Traditional, Tamwan) Downloaded 
Czech Downloaded 
Duteh Downloaded 


French Downloaded 
German Downloaded 


中 门人 中 同门 中 中 站 


Hungarian Downloaded 


English Not Downloaded 


Not Installed 
Naot Installed 
Not Installed 
Net Installed 
Installed 

Not lInstalled 
Not lInstalled 
Not Installed 


12.62 ”服务 器 语言 选择 


(9) 在 Client Language Selection 屏幕 上 ， 选 择 客户 机 OS 文 持 的 语言 ， 如 图 12.63 所 示 ， 然 后 单 击 Next。 
(10) 在 Site and Installation Settings 屏幕 上 ， 在 Site code 字段 中 输入 站 点 代码 。 这 是 一 个 三 位 数 的 字母 数字 域 ， 
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它 可 以 包含 从 A 到 Z 的 字母 和 从 0 到 9 的 数字 。 然 后 在 其 字段 中 输入 站 点 名 称 ; 名称 在 站 点 中 应 该 是 唯一 的 。 我 
们 建议 不 要 为 站 点 输入 版 本 或 号 码 。 然 后 输入 安装 的 有 效 路 征 ， 并 查看 在 图 12.64 中 选择 的 选项 。 输 入 所 有 内 容 后 ， 
单 击 Next。 


System Center Configuration Manager Setup Wizard 


Client Language Selection 
i | | | 


Select the client languages for Configuration Manager to support. 


When you select a client language and tt matches the display language of a client computer, the Configuration 
Manager clilent displays that language, English is the default language and tt ts used when Configuration Manager 
does nat support the display language. 


You can modify the cent languages f youy run Setup again and select the mte Mamtenance option, 


Currenthy Supported Languages: 


Name Awailability State 


Chinese (Simplified) 
Chinese (Traditional Taiwan) 
[Czech 

L_ Danish 

L_ Dutch 

过 English 

国 


Finmish 


Downloaded 
Downloaded 
Downloaded 
Downloaded 


Downloaded 


Not Downlsaded 


Downloaded 


Not Installed 
Not Installed 
Not Installed 
Nat Installed 
Not Installed 
Installed 

网 at Installed 


LL] Enable all languages for mobile device clients 


12.63 ”选择 客户 端 语言 


System Center Configuration Manager Setup Wizard 


site and Installation Settings 


BB | | | 


Specify a site code that uniguely identifies this Configuration Manager site im your hierarchy. 
Site code: looqd | 
Specify a site name that helps to identify the site. Example: Contose Headquarters Site 


Site nanme: Contoso Headquarters Ste 


Note: The site code must be unique in the Configuration Manager hierarchy and cannot be changed after you install the 


site, 
Ss\Program File\Microsoft Configuration Manager 


Specity whether to install the Configuration Manager console to manage the Configuration Manager site from this 
computer. You can remotely manage the site when you do not install the Configuration Manager console. 


Installation folder: 


Iv] Install the Configuration Manager console 


12.64 站 点 和 安装 设置 


站 点 代码 和 站 点 名 称 的 最 佳 实 践 
站 点 代码 必须 是 唯一 的 ， 以 便 在 系统 层次 结构 中 标识 特定 的 站 点 。 站 点 代码 不 能 重用 。 有 些 站 点 代码 是 受 限制 
的 ， 不 能 使 用 ， 例 如 AUX、CON、NUL、PRN 和 SMS. 


(11) 在 Primary Site Installation 屏幕 中 , 选择 Install a primary site as a stand-alone site。 因 为 这 是 唯一 需要 的 站 点 
服务 器 ， 而 且 不 存在 现 有 的 中 央 管 理 站 点 ， 所 以 不 需要 选择 Join the primary site to an existing hierarchy (参见 图 
12.65)。 单 击 Next， 然 后 在 出 现 提示 时 单 击 Yes。 

(12) 在 Database Information 屏幕 上 ， 输 入 SQL 服务 器 的 FQDN。 如 果 它 是 搭配 好 的 ， 就 保持 原样 。 如 果 在 共 
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享 实例 上 使 用 SQL 服务 器 ， 请 输入 有 关 该 SQL 服务 器 和 实例 的 信息 ， 如 图 12.66 所 示 。 完 成 后 ， 单 击 Next。 


System Center Configuration Manager Setup Wizard 


Primary Site Installation 


specify whether to join the primary site to an existing Configuration Manager hierarchy or install the primary site as a 
stand-alone site, 


CD Join the primary site to an existing hierarchy 


Central administration site server (FQDNY Example: serverl.contoso.com 


®) Install the primary site as a stand-alone site 


图 12.65 主 站 点 安装 


System Center Configuration Manager $etup Wizard 


Database Information 
| | : 


Configuration Manager Primary sites require a Microsoft 3QL Server database to store site settings and data, 


specify the site database server details. The instance name that you use for the site database must be configured 
with a static TCP port. Dynamic ports are not supported., 


SQL Server name (FQDN): Example: Serverl.contoso.com 
mconNntoso.com | 
Instance name (leave blank for default): Example: Mylnstance 

Cm 

Database name: Example: CM_XYZ 


CM_000 


Specify the TCP port number for SQL Server Service Broker. Configuration Manager uses Service Broker to replicate 
data between parent and child Smte database servers In the hierarchy, This port ts different from the port used by the 
SQL Server service, which is automatically detected by Configuration Manager, 


Service Braker Port: 4022 


12.66 输入 SQL 服务 器 的 FQDN 
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(13) 在 Database Information 屏幕 上 ， 确 保 path to the SQL Server data file 和 Path to the SQL Server log file 中 列 


出 的 驱动 器 是 正确 的 ， 如 图 12.67 所 示 。 确 认 路 径 后 ， 单 击 Next。 


排除 集群 驱动 器 


在 集群 SQL 服务 器 中 ， 不 能 将 监视 服务 存储 在 构成 集群 的 驱动 器 中 。 确 保 和 包含 一 个 名 为 no_sms_on drive.sms 
的 文件 ， 这 样 就 不 会 在 集群 驱动 器 上 安装 服务 了 。 只 有 一 个 可 以 安装 服务 的 本 地 驱动 器 。 可 通过 以 下 链接 阅读 更 多 
言 息 : https://blogs.technet.microsoft.comysmartinez/2014/06/11/youimplemented-a-sql-cluster-for-sysctr-2012-r2-confiemer- 


YoU-forget-wWhat/。 
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(14) 在 SMS Provider Settings 屏 舌 上 , 确认 提供 程序 服务 器 名 称 ,通常 是 同一 个 服务 器 (可 在 第 一 次 安装 之 后 更 
改 它 )。 然 后 单 击 Next。 

(15) 在 Client Computer Communication Settings 屏幕 上 ， 选 择 Configure the communication method on each site 
system role， 如 图 12.68 所 示 ， 然 后 单 击 Next。 


ystem Center Configuration Manager Setup Wizard 


Database Information 
| | | 


SPeci the locations for the SQL Senver data file and transaction log file. 


Path te the SQL Server data file 
WASSOLT3. CMM MssSOLDALA, 
Path to the SQL Senver log file 


VAMSSQL1T3.CMMNMSSOQLDATA, 


图 12.67 确认 列 出 的 驱动 器 是 正确 的 


System Center Configuration Manager $etup Wizard 


Client Computer Communication Settings 


BR | 


Configuration Manager site system roles can accept HTTPer HTTPS communication 和 em clients 3pecity whether to 
require all site system roles to accept only HTTPS communication or allow the communication methed to be 
configured on each site system role. 


DO All site system roles accept only HTTPS communication from clients 
) Configure the communication method on each site system role 


L | Chients will use HTTPS when they have a valid PK certificate and HTTPS-enabled site roles are available 


Nete: HTTPS tommunication requires client computers to have a valid PK certificate for client authentication, 


| zprevious |[ Nex> || Cnc | 
图 12.68 客户 通信 设置 


使 用 HTTPS 的 客户 端 通信 
如 果 希 望 客户 端 使 用 HTTPS 通信 ， 可 在 安装 之 后 进行 。 出 于 安全 目的 ， 在 选择 这 些 角色 前 ， 需 要 在 服务 器 和 
客户 机 上 安装 了 PKI 证 书 。 


(16) 在 站 点 系统 角色 上 , 保留 默认 选择 ,来 安装 管理 点 和 分 发 护 角 色 。 它 们 都 使 用 HTTP 进行 默认 的 客户 机 通 
言 ， 因 为 第 15 步 选 择 了 HTTP。 如 图 12.69 所 示 ， 然 后 单 击 Next。 

(17) 在 Diagnostic and Usage Data 屏幕 上 ， 单 击 Next。 

(18) 在 Service Connection Point Setup 屏幕 上 ， 保 留 默认 设置 以 进行 连接 。 此 角色 将 新 的 更 新 和 服务 告知 服务 
器 。 单 击 Next。 
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(19) 在 Setting Summary 屏幕 上 ， 检 查 设 置 ， 确 保 它 们 看 起 来 不 错 ， 然 后 单 击 Next。 

(20) 在 Prerequisite Check 屏幕 上 ， 查 看 在 检查 先决 条 件 时 发 现 的 任何 警告 或 错误 ， 并 在 单 击 Begin Install 之 前 
处 理 它们 。 

(21) 在 Overall progress 窗口 中 ， 可 以 看 到 进度 指示 器 ， 如 图 12.70 所 示 。 安 装 需要 一 些 时 间 来 完成 ， 通 常 在 
45 一 60 分 钟 之 间 。 


system Center Configuration Manager Setup Wizard 


Site System Roles 
Ce | | 


Specify whether te have Setup install a management point er distributien point, 


A management point provides clients with policy and content location information, lt also receives configuration 
data fram clients, 


Install a management point, 


FADN: Client connection: 
sO6.contoso.com | HTTP 


A distribution point contains source files for clients to download and lets you control content distribution by using 
bandwidth, throttling, and scheduling controls. 


[Y] Install a distribution point, 


FQODN: Client connection: 
SCO06.contoso.com | HTIP 


The site server's Com puter account is Used to install the selected site system roles. Ensure that this account is a 
member of the local administrators group for the specified servers, 


You can install additional site system roles from the Configuration Manager console after Setup finishes. 


Site system roles configured to use HTTPS must have a valid PKI server certificate. 


图 12.69 ”站 点 系统 角色 


system Center Configuration Manager Setup Ward 
Install 


Ohverall progress 


Elapsed time: O00:00:00;:47 


| Evaluating setup environment 


Cancel 


图 12.70 ”安装 的 总 体 进 度 


12.4.5 配置 System Center Configuration Manager 


Configuration Manager 的 安装 完成 后 ， 需 要 提供 一 系列 配置 项 ， 以 便 绾 理 和 维护 Windows Server 2016。 首 先 讨 
论 Configuration Manager 中 提供 的 、 在 Active Directory 中 查找 数据 的 发 现 方法 ， 以 及 如 何 使 用 每 个 Active Directory 
发 现 方 法 。 
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1. 发 现 方法 

Configuration Manager 中 目前 有 六 种 发 现 方法 。ConfigMsgr 使 用 发 现 方法 同 ConfigMsgr 数据 库 添 加 新 的 资源 (用 
户 或 计算 机 ) 或 关于 现 有 资源 (组 或 OU 成 员 ) 的 信息 。 我 们 还 为 一 些 Active Directory 方法 提供 了 Delta Discovery， 以 
更 快 地 新 发 现 记 录 。 要 更 深入 地 了 解 发 现 方 法 ， 请 访问 以 下 链接 : 


https://docs.microsoft.com/en—us/sccm/core/servers/deploy/configure/about—discovery—methods 


Active Directory 森林 发 现 万 法 
此 发 现 方 法 不 会 发 现 资源 或 用 尸 。 相 反 ， 它 会 添加 在 站 点 和 服务 中 发 现 的 边界 信息 。 这 将 有 助 于 确保 客户 问 正 
确 地 分 配 到 ConfigMegr 站 点 。 


Active Directory 系统 发 现 万 法 

Active Directory 系统 发 现 方法 是 一 种 用 于 从 Active Directory 域 服务 (AD DS) 中 读 取 计算 机 对 象 ， 并 将 其 添加 到 
Configuration Manager 数据 库 的 发 现 方 法 。 这 种 发 现 方法 是 完全 可 配置 的 ， 可 从 整个 域 或 特定 的 组 织 单 元 (OU) 中 读 
取 资 源 。Active Directory 系统 发 现 方法 是 Configuration Manager 中 使 用 的 主要 计算 机 发 现 方法 。 使 用 这 种 方法 可 以 
发 现 所 有 域 连接 的 计算 机 一 一 大 多 数 情 况 下 ， 使 用 这 种 方法 将 避免 使 用 网 络 发 现 。 

Active Directory 系统 发 现 方 法 为 用 于 读 取 的 域 或 OU 中 的 每 台 Windows 计算 机 创建 一 个 DDR 记录 ; 它们 在 域 
名 系统 (DNS) 或 Windows Internet Name Service (WINS) 中 有 一 个 名 称 解 析 记 录 。 这 将 确保 无 论 站 点 如 何 分 配 ， 痢 可 
以 加 强 与 客户 沟通 ， 如 网 站 服务 器 的 网 络 配置 所 示 。 


Active Directory 用 户 发 现 方 法 

Configuration Manager 中 的 软件 部 闭 远 非 像 以 前 的 软件 版 本 那样 以 用 户 为 中 心 。 因 此 ， 将 所 有 Active Directory 
用 户 账户 放 入 Configuration Manager 中 非常 重要 。Active Directory 用 户 发 现 方 法 是 用 于 同 Configuration Manager 添 
加 域 用 户 账 尸 信息 的 发 现 过 程 。 这 种 发 现 方法 应 该 在 大 多 数 环 境 中 尼 用 。 在 添加 用 户 后 ， 它 们 可 用 于 特定 用 户 的 软 
件 发 行 版 ， 而 不 是 计算 机 。 

默认 情况 下 ，Active Directory 用 户 发 现 方法 收集 以 下 信息 : 

合 ”用 户 名 

令 ”唯一 的 用 户 名 (包括 域名 ) 

例 ”Active Directory 域 

例 ”Active Directory 容器 名 

这 种 类 型 的 发 现 方法 可 以 配置 为 发 现 整个 域 、 特 定 OU 或 组 中 的 用 户 资源 。 为 配置 的 OU、 组 或 域 中 的 每 个 用 
户 账 户 创 建 一 个 DDR 记录 。 


Active Directory 组 发 现 万 法 

Active Directory 组 发 现 方法 搜索 AD DS， 以 查找 用 于 创建 集合 和 查询 的 安全 组 信息 。 它 发 现 本 地 组 、 全 局 
组 和 通用 安全 组 ,Active Directory 组 发 现 方法 还 同 Configuration Manager 添加 关于 计算 机 账户 的 Active Directory 
组 信息 。 

Active Directory 组 发 现 方法 发 现 以 下 信息 : 

令 ”安全 组 的 基本 信息 。 将 安全 组 添加 到 Configuration Manager 数据 库 。 

争 ”安全 组 的 OU 和 Active Directory 容器 。 添 加 有 关 安 全 组 的 OU 和 域 信息 。 

此 发 现 方 法 发 现 用 尸 / 安 全 组 关系 。 基 于 用 户 的 组 的 安全 组 信息 包含 在 用 户 安全 标识 付 (SID) 中 。 简 单 地 将 组 添 
加 到 集合 中 ， 束 可 以 让 组 中 的 所 有 用 户 获 得 针对 组 的 任何 软件 。 基 于 用 尸 安 全 组 的 集合 不 需要 更 新 ， 因 为 用 尸 的 
SID 表示 组 成 员 关 系 。 添 加 到 组 时 ， 用 户 需 要 注销 /登录 。 

Active Directory 组 发 现 方 法 发 现 系统 /安全 组 关系 。 它 发 现 了 以 前 由 System Group Discovery 发 现 的 系统 组 信 
恩 。 系 统 组 信息 添加 到 单独 的 计算 机 记录 中 。 使 用 此 信息 创建 的 集合 把 个 人 计算 机 加 入 集合 中 。 需要 更 新 这 些 集 合 ， 
以 显示 最 新 成 员 。 


网 络 发 现 方 法 
网 络 发 现 (Network Discovery) 方 法 通过 查询 DHCP (Dynamic Host Configuration Protocol， 动 态 主 机 配置 协议 ) 服 


第 12 草 用 System Center 进行 管理 333 


务 器 、 路 由 器 中 的 ARP (Address Resolution Protocol， 地 址 解析 协议 ) 缓 存 以 及 支持 SNMP(Simple Network 
Management Protocol， 简 单 网 络 党 理 协议 ) 的 设备 来 搜索 网 络 中 文 持 王 的 资源 。 这 些 资 源 通常 是 不 可 靠 的 ， 因 为 
SNMP 设备 是 有 限 的 , ARP 缓存 的 生存 时 间 (Time to Live, TIL) 通 常 很 短 。 网 络 发 现 方法 还 可 搜索 Active Directory 
域 和 IP 子 网 。 

要 发 现 资源 ， 网 络 发 现 方法 必须 能 在 资源 的 IP 地 址 之 外 识别 子 网 掩 码 。 由 于 可 以 有 许多 不 同类 型 的 设备 连接 
到 网 络 ， 所 以 网 络 发 现 方法 常会 发 现 无 法 支持 Configuration Manager 客户 端 软件 的 资源 ， 因 此 无 法 由 Configuration 
Manasger 管理 。 

网 络 发 现 方 法 可 提供 大 量 属性 列表 ， 作 为 发 现 记 录 的 一 部 分 ， 包 括 以 下 内 容 : 
NetBIOS 名 称 
IP 地 址 
系统 角色 
SNMP 社区 名 
MAC( 介 质 访 问 控制 ) 地 址 


心跳 发 现 

心跳 发 现 (Heartbeat Discovery) 方 法 不 同 于 Configuration Manager 中 的 其 他 发 现 方法 ， 因 为 它 是 由 已 安装 的 客户 
机 局 动 的 。 心 跳 发 现 方法 的 目的 是 在 Configuration Manager 中 保持 客户 端 记 录 的 最 新 状态 。 心 跳 发 现 方法 是 独 一 无 
二 的 ， 因 为 只 有 它 返 回 客户 妆 GUID( 全 局 唯一 标识 从 )， 作 为 发 现 记录 的 一 部 分 。 也 只 有 它 指 示 ， 客 户 问 是 否 被 安 
装 在 Configuration Manager 控制 台中。 

心跳 发 现 方法 负 员 让 站 点 知道 客户 并 仍然 健康 ， 并 在 指定 的 时 间 间 隔 内 运行 。 默认 间隔 是 7 天， 但 它 通常 设置 为 
较 短 的 间隔 ， 例 如 每 天 。 心 跳 发 现 数据 由 Delete Inactive Client Discovery Data 和 Clear Install Flag 维护 任务 使 用 ， 要 人 么 
从 Configuration Manager 数据 库 中 删除 记录 , 要 么 将 它们 更 改 为 Client=No。 验证 这 两 个 主要 维护 任务 的 设置 间隔 是 否 
高 于 心跳 发 现 间隔 (建议 为 最 小 值 的 2.5 倍 )。 在 配置 这 些 任务 时 ， 请 仔细 考虑 客户 机 脱 机 的 合理 时 间 长 度 。 


2 多 


如 何 处 理 心跳 发 现 数据 

当 启 动 计划 的 心跳 发 现 周期 时 ， 客户 机 上 的 目录 代理 线程 开始 处 理 心 跳 目 录 。 目 录 代 理 负 责 硬 件 和 软件 库存 以 
及 心跳 发 现 方法 。 心 跳 发 现 记录 非常 小 ， 处 理 速 度 很 快 。 

在 目录 代理 处 理 记录 之 后 ， 就 把 它 复制 到 服务 器 上 的 出 站 队列 ， 并 根据 大 小 ， 把 它 复制 到 CCM Incoming 目录 
或 直接 发 布 到 管理 点 。 记 录 通 过 后 台 智 能 传输 服务 (Background Intelligent Transfer Service，BITS) 复 制 到 管理 点 。 发 
现 记录 和 其 他 目录 记录 在 处 理 时 以 XML 格式 存储 在 此 文件 夹 中 。 


增 量 发 现 

关于 增 量 发 现 (Delta Discovery) 的 信息 也 与 Active Directory 用 户 、 安 全 组 和 系统 组 发 现 相 关 。 

Configuration Manager 中 的 Active Directory 增 量 上 发现 只 发 现 AD DS 中 的 新 资源 或 更 改 的 资源 ， 而 不 是 执行 完 
整 的 发 现 周 期 ， 从 而 增强 了 发 现 功 能 。 增 量 发 现 方 法 搜索 新 资源 的 时 间 间 隔 可 配置 为 较 短 的 时 间 间 隔 ， 因 为 只 发 现 
新 资源 不 会 像 完 整 的 发 现 周期 那样 影响 站 点 服务 器 的 性 能 。 增 量 发 现 方 法 可 检测 以 下 新 的 资源 类 型 : 

令 ”添加 到 AD DS 或 组 中 的 新 计算 机 或 用 户 

令 ”改变 基本 的 计算 机 和 用 户 信息 

令 ”从 组 中 移 除 的 计算 机 或 用 户 

增 量 发 现 方 法 没有 取代 其 他 Configuration Manager 发 现 方法 。 因 为 它 只 在 AD DS 中 查找 新 的 或 修改 过 的 资源 ， 
所 以 它 必 须 与 执行 AD DS 完全 同步 的 发 现 方法 一 起 使 用 。 

增 量 发 现 方 法 具有 以 下 限制 : 

令 ” 增 量 发 现 方法 只 读 取 复制 的 Active Directory 属性 更 改 。 

令 ” 增 量 发 现 方法 不 收集 非 复 制 的 属性 更 改 (如 属性 的 成 员 )， 除 非 同 时 更 改 了 复制 的 属性 。 
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2. 配置 Active Directory 万 法 

要 配置 Active Directory 方法 ， 只 需要 执行 以 下 步骤 : 

(1) 打开 ConfigMegr 控制 全 ， 然 后 进入 Administration 工作 区 。 

(2) 展开 Hierarchy Configuration 并 单 击 Discovery Methods 节点 ， 如 图 12.71 所 示 。 

(3) 右 击 Active Directory Forest Discovery 并 选择 Properties。 

(4) 如 图 12.72 所 示 , 选中 Enable Active Directory Forest Discovery, 选中 Automatically create Active Directory site 
boundaries when they are discovered， 选 中 Automatically create IP address range boundaries for IP subnets when they are 
discovered， 单 击 Apply， 然 后 单 击 Yes。 这 将 根据 站 点 和 服务 执行 发 现 操 作 ， 并 在 边界 下 创建 条 目 。 

Discovery Methods 6 items 


| egrch 


Icon Name Status Descnption 


了 Actrve Directory Forest Discovery Enabled 


Configures settings that Configuration Manager uses to find A... 


Actmve Directory Group Discovery Enabled 


Configures settings that Configuration Manager uses to find g... 
Actrve Directory System Discovery Enabled 


Configures settings that Configuration Manager uses to find ¢,,, 


Actrve Directory User Discovery Enabled Configures settings that Configuration Manager uses to find u... 
Heartbeat Discovery Enabled Configures interval for Configuration Manager clients to perio... 
Network Discovery Disabled Lonfigures settings and polling intervals to discover resources.,, 


图 12.71 发 现 方法 


园 Active Directory Forest Discowvery Properties 


A Active Directory Forest Discovery 


Lorfigure settings to find resources from Achive Darectory forasts. When you corfigure the 
forests to discover Active Directory sles arvd mbrnets. Configuration Manager can aulomalicalhy 
create boundaries from this nformation. 


[网 Enable Active Directory Forest Ciscowvery 


Putomatically create Active Drectory se boundaries when they are discowered 
Atomatically create |P address range boundares for |P subnets when ihey are 


Schedule 


到 12.72 Active Directory Forest Discovery 屏幕 


(5) 单 击 边界 ， 将 看 到 Active Directory Forest Discovery 所 生成 的 新 项 ， 如 图 12.73 所 示 。 
Boundaries 2 Items 


| Search 


地 


Icon Boundary Type Group Count Date Created 


| 192.168.2.1-192.168.2.254 IP address range was 2/16/2018 2:46 PM 


[| NINJAHQ Active Directory site = 2/16/2018 2:46 PM 


图 12.73 边界 


(6) 返回 Discovery Methods， 右 击 Active Directory Forest Discovery 并 选择 Properties。 

(7) 在 Active Directory Group Discovery Methods 屏幕 上 ， 选 中 Enable Active Directory Group Discovery， 如 图 
12.74 所 示 。 然 后 在 Active Directory location 屏幕 上 选择 Add | Location。 输 入 名 称 并 选择 LDAP 位 置 。 为 此 ， 只 需 
要 单 击 Browse 并 找到 OU 或 根 ， 以 得 找 AD 组 。 完 成 后 单 击 OK， 如 图 12.75 所 示 。 
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国 Active Directory Group Discovery Properties 


i Active Directory Group Discovery 


Configure settings to discover the Active Directory group membership of computers and users. 
[wj Enable Active Directory Group Discovery 


Type Recursive Account 
There are no ttems to show in this view. 


图 12.74 选中 Enable Active Directory Group Discovery 


Add Actrve Directory Location 


Active Directony location 
Enter the location by using a distinguished name (DN)for an Active Directony forest. domain, container. or 
organizational unit (OU). Or, browss to the beation. 


When you specify an Active Directory location that has a large number of groups or groups that 
have many members, the discoveny process can take a long time to finish. 
Name: 
Location: Example: LDAP-//OU= UserAccounts, DC=contoso, DC=com 
LDAP://DC=contoso,DC=com| 
[四 Recursively search Active Directory child containers 


Active Directory Group Discovery Account 
The Active Directory Group Discovery Account must hawve Read permission to the specified location. 


(®) Use the site servers computer account 
OO Specify an account: 


图 12.75 ”Active Directory location 屏幕 


(8) 要 查看 新 发 现 的 对 象 ， 请 单 击 Assets And Compliance Workspace， 然 后 单 击 Users Collections 节点 ， 就 会 显 
示 在 All User Groups 和 All Users and User Groups 类 别 上 发 现 的 对 象 计 数 ， 如 图 12.76 所 示 。 

User Collections 3 Iterms 

| Search 


lcan Mame 


Limiting Collection Member Count | Members Visible on Site Referenced Collections 


All User Groups All Users and User... 33 33 


All Users Mll Users and User,, 24 a4 
All Users and User Groups 


31 了 7 


12.76 ”Users Collections 节点 


(9) 返回 Discovery Methods， 右 击 Active Directory System DiscoveIV， 并 选择 Properties 。 
(10) 选择 Enable Active Directory System Discovery， 如 图 12.77 所 示 。 然 后 单 击 星 形 图 标 ， 在 路 答 上 添加 一 个 
新 的 Active Directory 容器 , 单 击 Browse, 选择 OU 或 forest 根 , 然后 单 击 OK。 完 成 后 , 单 击 Apply, 然后 单 击 Yes。 
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图 Active Directory System Disceovery Properties 
Deneral | Poling Schedule | Actve Drecton Mtrbutes | Options 
A Aective Directory Syastem Diseowery 
Confagure lhe settings to find computers mn Adive Dwrectory Domain Semvices. 


[|] Enable Petive Directory Syatam Discovery 


Pective Directory contairers: 


Cistinguished Name Recursive Group hccound 
LDAP:AWDCaFOURTHCOFFEE,DCaLD.， Yes Excluded Ste Senrer 


图 12.77 Active Directory System Discovery 屏幕 


(11) 要 查看 新 发 现 的 对 象 ， 请 转 到 Assets and Compliance 工作 区 ， 然 后 单 击 Device Collections。 就 会 看 到 All 
Systems 下 列 出 的 这 些 对 象 (参见 图 12.78)。 


Device Collections 5 items 


| EGFreh 


Narne Limiting Callection MemberCount Members Visible on Site haferenced Callections 


All Desktop and Server Clients All Systems 1 1 
All Mobile Devices All Systems 0 
All Systems ’ 
All Unknown Computers All Systems 2 
Cae-Management Pilet All Desktop snd Se,., 0 


图 12.78 列 出 对 象 


0 
0 0 
了 0 
2 0 
0 0 


(12) 返回 Administration 工 作 区 上 的 Discovery Methods, 右 击 Active Directory User Discovery 然后 选择 Properties。 
(13) 在 Active Directory User Discovery Properties 窗口 上 ， 如 图 12.79 所 示 ， 选 中 Enable Active Directory User 
Discovery, 并 回路 径 添 加 一 个 Active Directory 容器 。 单 击 Browse 并 选择 OU 或 forest 根 。 单 击 OK, 然后 单 击 Apply。 


Ea Actrre Directory User Discowven Properties 


Contigurs the settngs to fnd user accounts mn Active Directory Doman Servicee， 


[A Enable Active Directory User Discowery 


Active Directory containers. 

| Piter... FP: 
Distinguished Name | 
LOAPAADC=FOURTHOOFFEE .DC=L0... Yes 


12.79 Active Directory User Discovery Properties 窗口 


(14) 要 查看 新 发 现 的 对 象 ， 请 转 到 Assets and Compliance 工作 区 ,然后 单 击 User Collections。 如 图 12.76 所 示 ， 
用 户 计 数 显示 在 All Users 和 All Users and User Groups 选项 下 。 


(15) 返回 Administration 工作 区 ， 然 后 返回 发 现 方法 。 剩余 的 两 种 发 现 方法 是 心跳 发 现 方法 和 网 络 发 现 方法 ， 
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这 两 种 方法 都 不 需要 配置 。 


网 络 发 现 方法 的 网 络 流量 
网 络 发 现 方法 会 导致 大 量 的 网 络 流量 。 我们 建议 只 使 用 一 次 或 只 基于 特定 的 需要 来 使 用 。 否则 ， 应 该 避免 将 其 
用 于 中 小 型 企业 业务 。 


12.4.6 ” 边 青 及 边 弄 组 


每 个 边界 都 表示 Configuration Manager 中 的 一 个 网 络 位 置 ， 它 可 从 层次 结构 中 的 每 个 站 点 服务 器 获得 。 边 界 不 
允许 在 网 络 位 置 上 管理 客户 端 。 要 管理 客户 端 ， 边 界 必须 是 边界 组 的 成 员 。 

使 用 边界 组 管理 网 络 位 置 。 在 使 用 边界 组 之 前 ， 必 须 为 边界 组 分 配 边界 。 边 界 组 具有 以 下 功能 : 

令 ”它们 让 客户 找到 一 个 主 网 站 ， 用 于 客户 端 分 配 ( 目 动 站 点 分 配 )。 

令 ”在 官 理 点 (可 选 )、 分 发 点 、 状 态 迁 移 点 等 站 点 系 统 服 务 器 与 边界 组 关联 起 来 后 ， 可 为 客户 并 提供 一 个 含有 

内 容 的 可 用 网 站 系统 列表 。 

要 支持 站 所 分 配 ， 必 须 配 置 边界 组 来 指定 一 个 分 配 的 站 点， 供 客 性 机 在 目 动 站 扣 分 配 期 间 使 用 。 要 支持 内 容 位 
置 ， 必 须 指 定 一 个 或 多 个 站 点 系统 。 只 能 使 用 分 发 把 或 状态 迁移 点 等 站 点 系 统 角 人 色 来 指定 站 反 系 统 。 对 于 边界 组 ， 
站 扣 分 配 和 内 容 位 置 配置 都 是 可 选 的 。 

当 计划 边界 组 时 ， 考 虑 创建 一 组 边界 组 用 于 内 容 位 置 ， 再 创建 男 一 组 边界 组 用 于 自动 站 点 分 配 。 这 种 分 离 有 助 
于 避免 在 站 点 分 配 时 重 登 边界 。 当 有 重 登 的 边界 并 使 用 目 动 站 氮 分 配 时 ， 分 配 客户 端的 站 点 可 能 是 非 确定 性 的 。 


1. 创建 边 齐 

要 创建 边界 ， 请 齐 循 以 下 步 又 : 

(1) 打开 ConfigMgr 控制 台 ; 然后 转 到 Administration 工作 区 并 选择 Boundary 节点 。 

(2) 右 击 Boundaries 然后 选择 Create Boundary。 

(3) 在 Create Boundary 窗口 上 ， 如 图 12.80 所 示 ， 可 选择 创建 IP subnet、Active Directory Site、IPv6 或 卫 地 址 
范围 的 边界 类 型 。 

(4) 一 旦 确定 了 要 创建 的 Boundary 头 型 ， 输 入 边界 所 需 的 信息 ， 然 后 单 击 Apply。 


| 旺 | Loanhigurs settings for this bourdary 


Deserintion: 
Tips 


Natvatk 


NOTE: The Netveor and Subnat maask valles are Used to 
coeubane the Sulbnet | and we not saved. 


| 0 


图 12.80 Create Boundary 窗口 


2. 创建 边 青 组 

Configuration Manager 中 有 三 种 边界 组 : 一 种 用 于 站 点 分 配 , 一 种 用 于 内 容 位置 , 男 一 种 用 于 MP( 和 党 理 点 ) 关 联 。 
要 创建 边界 ， 请 遵循 以 下 步骤; 

(1) 打开 ConfigMegr 控制 合 ， 并 单 击 Administration 工作 区 。 

(2) 选择 位 于 Hierarchy Configuration 下 的 Boundary Group 节点 。 

(3) 右 击 边界 组 ， 然 后 选择 Create Boundary Group。 

(4) 输入 边界 组 名 称 和 摘 述 信息 ， 如 图 12.81 所 示 ， 然 后 单 击 Add。 
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The folowing boundarnes are members of this boundary group. 


Boundanes: 
| Filar... . 


There are no ibems to showw in thas ew. 


图 12.81 创建 边界 组 


(5) 在 Add Boundaries 窗口 上 ， 选 择 列 出 的 所 有 边界 。 因 为 这 是 一 个 站 点 分 配 边界 组 ， 且 只 有 一 个 主 站 扣 ， 所 
以 所 有 客户 端 都 问 这 个 主 站 点 报告 。 单 击 OK。 

(6) 回 到 Boundary Group Properties 窗口 上 ， 单 击 References 并 选择 Use this boundary group for site assignment， 
如 图 12.82 所 示 。 单 击 Apply。 


i B Hesignment 
The assigned 二 the Config Mgr site et dring discowvery. hi also 
mh ee 


Selesdt site ta SEE 后 
er rrgaajiaanr ke eet i phe le by 
要 起 ym which are management points 


全 和 
There ara no items to shrew in this wew. 


图 12.82 ”References 选项 卡 


注意 , 我 们 没有 在 边界 组 中 选择 任何 站 点 系 统 进行 站 点 分 配 。 这 是 为 了 确保 它 只 用 于 站 点 分 配 ， 而 不 是 混合 边界 。 

下 面 是 为 内 容 位 置 创 建 边界 组 的 步骤 : 

(1) 打开 Configuration Manager 控制 台 ， 并 选择 Administration Workspace | Hierarchy Configuration 。 

(2) 选择 Boundary Groups 节点 ， 右 击 Create Boundary Group。 

(3) 在 Create Boundary Group 窗口 中 ， 输 入 边界 组 的 名 称 。 对 于 本 例 ， 输 入 CON_DP。 

(4) 单 击 Add， 为 内 容 和 位 置 选择 访问 此 边界 组 的 边界 。 做 出 选择 后 ， 单 击 OK。 

(5) 单 击 References。 在 Select Site System Server 窗口 上 ， 单 击 Add 并 选择 该 边界 组 所 需 的 分 发 点 。 做 出 选择 
后 ， 单 击 OK。 

(6) Content 的 边界 组 没有 选 定 的 站 点 分 配 ; 它 只 有 一 个 站 点 系统 。 单 击 Apply 和 OK。 

下 面 是 为 管理 点 关联 创建 边界 组 的 步骤 ; 

(1) 打开 Configuration Manasger 控制 台 并 选择 Administration Workspace| Site Configuration 。 
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(2) 右 击 Sites 并 选择 Hierarchy Settings。 

(3) 在 Hierarchy Settings 上 ， 选 择 客户 端 来 使 用 绑 定 组 中 指定 的 管理 点 。 和 单 击 Apply 和 OK。 
(4) 返回 Hierarchy Configuration 并 选择 Boundary Group 节点 。 

(5) 右 击 Boundary Groups 并 单 击 Create Boundary Group 。 

(6) 在 Create Boundary Group 中 ， 输 入 该 边界 组 的 名 称 。 对 于 本 例 ， 输 入 CON_MP。 

(7) 在 Boundaries 部 分 中 ， 单 击 Add， 并 选择 要 问 此 MP 报告 的 边界 。 单 击 OK。 

(8) 单 击 References， 在 Site Systems 下 单 击 Add， 然 后 为 这 个 边界 组 选择 想 要 的 管理 点 。 
(9) 单 击 Apply 然后 单 击 Close。 


12.4.7 ”安装 客户 端 


安装 客户 端 是 这 个 过 程 的 下 一 步 。 有 很 多 方法 可 以 安装 客 岂 端 ; 本 节 将 重点 介绍 最 适合 Windows Server 2016 


的 客户 新安 闭 方 法 。 


1. 安装 客户 端 推送 
使 用 Client Push Installation 方法 将 客户 问 目 动 安 装 到 分 配 的 资源 上 ， 并 手动 将 客户 六 安装 到 未 分 配 的 资源 上 。 
此 方法 可 用 于 使 用 Configuration Manager 控制 台 将 客户 端 安装 到 一 台 计 算 机 或 一 组 计算 机 上 。 

它 还 可 用 于 在 发 现 的 计算 机 上 目 动 安装 客户 疹 。 它 可 目 动 使 用 在 Client Push Installation 属性 的 Client 选项 卡 上 


定义 的 客户 疹 安 装 属 性 。 


2. 配置 客户 冰 推 送 

要 配置 Client Push， 请 执行 以 下 步骤 : 

(1) 打开 Configuration Manager 控制 台 ， 并 选择 Administration Workspace Site | Configuration | Sites Node。 

(2) 右 击 主 站 点 ， 并 选择 Client Installation Settings | Client Push Installation 。 

(3) 在 Client Push Installation 属性 中 ， 选 择 Enable Automatic Client Push Installation。 在 System Types 中 ， 确 保 


选择 了 Servers。 


注意 : 当 使 用 站 点 范围 的 客户 端 推送 安装 和 客户 端 推送 向 导 时 ， 指 定 是 否 在 域 控制 器 上 安装 Configuration 


Manager 客户 端 。 可 选择 Always Install the Configuration Manager Client On Domain Controllers。 然而， 这 是 一 个 可 
选 的 步骤 。 可 以 决定 不 这 样 做 ， 并 在 域 控制 器 上 手动 安装 客户 端 。 


(4) 单 击 Accounts， 确 保有 一 个 可 在 工作 站 和 服务 器 上 安装 客户 站 的 账户 。 通 贡 ， 一 旦 添加 了 账户 ， 此 账户 融 


具有 本 地 管理 员 权 限 。 


(5) 单 击 Installation Properties 并 得 看 当前 命令 行 的 属性 。 得 看 后 ， 单 击 Apply 和 OK。 
注意 : 在 启用 自动 客户 端 推送 之 前 ， 应 该 始终 执行 发 现 方法 。 如 果 在 ConfigMgr 中 有 客户 端 之 前 启用 了 客户 端 


推送 ， 那 么 所 有 发 现 的 对 象 都 将 安装 ， 并 创建 意外 的 网 络 流量 。 


3. 将 服务 怖 排除 在 香 户 中 推 送 之 外 
如 有 必要 ， 可 从 客户 机 推送 中 排除 一 些 服务 器 。 为 此 ， 需 要 编辑 一 个 名 为 ExcludeServers 的 多 字符 串 注 册 表 键 。 


可 在 以 下 路 径 找到 注册 表 : 


HKEY LOCAL MACHINE/SOFTWARE/Microsoft/SMS/Components/SMS_ DISCOVERY DATA MANAGER 
一 旦 编辑 了 注册 表 键 ， 束 可 以 添加 一 个 或 多 个 服务 器 ， 项 望 从 这 个 过 程 中 排除 这 些 服务 器 。 


4. 手动 安装 客户 端 


https://docs.microsoft.com/ en-us/sccm/core/clients/deploy/about—client-installation-—properties 


要 安装 客户 疹 ， 需 要 复制 ccmsetup.exe 文件 和 所 有 位 于 %proeramfiles%o\Microsoft Configuration Managern\Client 的 


文件 。 为 此 ， 请 遵循 以 下 步 又 : 


(1) 登录 到 希望 获得 客户 端 安装 的 服务 器 。 
(2) 使 用 管理 员 权 限 打开 命令 提示 符 (Admin)。 
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(3) 输入 pushd NYCCAS\SMS CAS\Client 并 按 回 车 键 。 

(4) 客户 机 文件 夹 将 映射 到 此 处 的 服务 器 。 输 入 CCMSETUPEXE SMSSITECODE=NYC， 按 回 车 键 。 

(5) 一 旦 安装 了 客户 端 ， 在 C:\Windows\ccm 上 会 看 到 一 个 新 文件 来， 应 该 在 Installed Programs Call Software 
Center 上 看 到 一 个 新 图 标 。 验 证 客户 机 的 另 一 种 方法 是 转 到 Control Panel | Security。 


12.4.8 ”使 用 客户 端 设 置 


客户 站 设置 可 用 于 为 客户 疹 配 置 特 定 项 。 在 Configuration Manager 控制 合 的 Administration Workspace Client Settings 
节点 上 可 看 到 默认 的 客户 端 代理 设置 。 当 更 改 默认 客户 中 设置 时 ， 这 些 设置 会 应 用 于 层次 结构 或 站 点 服务 器 中 的 所 
有 客 尸 端 。 可 以 创建 目 定 义 客 户 病 设置 ， 将 其 分 配给 集合 时 ， 该 设置 将 覆 新 默认 的 客户 端 设置 。 

要 了 解 关 于 客户 并 设置 的 更 多 信息 ， 请 阅读 以 下 链接 的 信息 : 

https://docs.microsoft.com/en—us/sccm/core/clients/deploy/about—-client—settings 

要 为 服务 器 创建 目 定义 客户 剖 设 置 ， 请 执行 以 下 步骤 : 

(1) 打开 Configuration Manasger 控制 人 台 ， 并 选择 Administration Workspace | Client Settings。 

(2) 右 击 Client Settings 节点 ， 并 选择 Create Custom Client Device Settings。 

(3) 在 Create Custom Client Device Settings 屏幕 上 ， 输 入 名 称 和 摘 述 信息 。 

(4) 输入 了 名 称 和 摘 述 信息 后 ， 需 要 为 Windows 服务 器 选择 一 系列 配置 。 

(5) 在 设置 屏幕 的 左 侧 ， 选 择 Client Policy。 

默认 策略 

默认 策略 设置 为 60 分 钟 ， 对 于 服务 器 ， 建 议 时 间 间 隔 为 30 分 钟 ， 启 用 User Policy On Clients = No， 因 为 这 是 
服务 器 而 不 是 工作 站 。 

(6) 在 Create Custom Client Device 窗口 上 ， 单 击 General。 

(7) 在 设置 屏幕 的 左 侧 ， 选 择 Computer Agent 以 选择 代理 。 

计算 机 代理 

在 Computer Agent 上 ， 建 议 只 使 用 Organization Name 设置 。 不 建议 使 用 新 的 Software Center， 因 为 它 更 关注 工 
作 站 和 用 户 。 


(8) 在 Create Custom Client Device 窗口 上 ， 单 击 General。 
(9) 在 设置 的 左 侧 ， 选 择 Hardware Inventory。 


硬件 库存 周期 
对 于 服务 器 ， 建 议 至 少 每 五 天 执行 一 次 库存 周期 。 服 务 器 将 联机 ， 通 常 它 们 的 硬件 不 会 经 常 改变 。 


要 添加 其 他 类 ， 需 要 单 击 Set Classes， 并 为 服务 器 月 用 以 下 类 : 
全 Server Hardware Inventory Classes 

令 Lopical Disk|Enable Free Space (MB) 

令 Quick Fix Engineering 

令 Shares 

(10) 在 Create Custom Client Device 窗口 上 ， 单 击 General。 

(11) 在 设置 屏幕 的 左 侧 ， 选 择 Software Inventory。 


软件 库存 周期 

对 于 软件 库存 ， 建 议 将 库存 周期 设置 为 7 天 。 需 要 设置 文件 类 型 ， 并 选择 文件 扩展 名 。 文 件 扩展 名 可 以 是 exe 
或 其 他 类 似 的 扩展 名 。 如 果 想 防止 服务 器 扫描 驱动 器 ， 请 添加 一 个 空 文件 并 将 其 命名 为 skpswi.dat。 如 果 想 了 解 关 
于 配置 软件 库存 的 更 多 信息 ， 请 查看 以 下 链接 : https:/docs.mlcrosott.comyen-Us/Sccmycore/clients/manage/InventoIY/ 
confieure-software-1nventory 。 
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(12) 在 Create Custom Client Device Settings 上 ， 单 击 General。 
(13) 在 设置 屏幕 的 左 侧 ， 选 择 Software Updates， 如 图 12.83 所 示 。 
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图 12.83 创建 目 定义 客户 问 设 备 设置 : 软件 更 新 


自 定义 客户 端 设 备 设 置 
Software Update 设置 中 最 重要 的 部 分 是 频率 。 避 免 使 用 与 工作 站 相关 的 配置 。 


(14) 在 Create Custom Client Device Settings 窗口 上 , 单 击 General。 现 在 选择 State Messaging， 如 图 12.84 所 示 。 
(15) 在 设置 屏幕 的 左 侧 ， 选 择 Software Updates。 
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12.84 创建 自 定 义 客 户 端 设备 设置 状态 消息 传递 


状态 消息 循环 
状态 消息 在 需要 时 由 客户 端 发 送 。 对 于 工作 站 ， 默 认 情 况 下 每 15 分 钟 发 送 一 次 消息 。 对 于 服务 器 ， 建 议 将 周 
期 时 间 和 更改 为 10 分 钟 。 


342 精通 Windows Server 2016( 第 6 版 ) 


(16) 单 击 O 久 。 新 创建 的 客户 疹 设 置 将 在 Client Settings 节点 中 可 用 。 
(17) 如 果 准 备 部 闭 设置， 只 需要 右 击 新 创建 的 客户 闯 设 置 ， 并 选择 Deploy。 
(18) 在 Select a Collection 窗口 上 ， 转 到 根 文件 夹 ， 找 到 与 服务 器 相关 的 集合 ， 然 后 单 击 OK。 


12.4.9 ”使 用 集合 


集合 帮助 将 资源 组 织 到 可 管理 的 单元 中 。 可 创建 集合 来 匹配 客户 管理 需求 ， 并 在 多 个 资源 上 同时 执行 操作 。 可 
在 以 下 链接 中 阅读 关于 集合 的 更 多 信息 : 


httPs:/ /adocs .microsott .comnmAen-us/sccm/Acore/Ac1lients/Amanade/AcollLectionsy/y IntroauctILoODDn- 七 O 一 
collections 


表 12.8 列 出 了 使 用 集合 的 几 种 方法 。 
表 12.8 集合 的 使 用 


操 作 示 例 
对 资源 进行 分 组 可 创建 基于 组 织 的 层次 结构 对 资源 进行 分 组 的 集合 
Pr 可 创建 一 个 没有 安装 Microsoft SQL Server Report Builder 的 计算 机 集合 ， 然 后 将 其 部 署 到 该 集合 
i 中 的 所 有 计算 机 
尽管 Configuration Manager 中 的 默认 客户 端 设置 适用 于 所 有 设备 和 所 有 用 户 ， 但 可 以 创建 应 用 于 
管理 客户 端 设 置 设备 集合 或 用 户 集合 的 定制 客户 端 设置 。 
如 上 一 节 所 述 ， 可 构建 Server Settings Client Settings 
电源 管理 可 为 每 个 集合 配置 特定 的 电源 设置 
ee 使 用 集合 来 控制 哪些 用 户 组 可 访问 Configuration Manager 控制 台中 的 各 种 函数 
维护 窗口 通过 维护 窗口 ， 可 定义 一 个 时 间 段 ， 在 此 期 间 ， 可 在 设备 集合 的 成 员 上 执行 各 种 Configuration 
Manager 操作 
软件 更 新 可 配置 一 组 集合 来 验证 更 新 或 执行 生产 部 署 
默认 情况 下 ， 所 有 未 知 的 计算 机 都 将 用 于 尚未 联网 的 设备 。 但 是 ， 还 需要 为 已 经 存在 的 设备 定义 
操作 系统 部 署 _ 组 集 全 


Configuration Manager 中 有 两 种 类 型 的 集合 : 用 户 集合 和 设备 集合 。 本 节 将 重点 讨论 设备 集合 。 

要 创建 一 个 全 服务 器 集合 ， 可 执行 以 下 步骤 。 

(1) 打开 Configuration Manager 控制 人 台 ， 并 选择 Asset and Compliance Workspace | Device Collection， 如 图 12.85 
所 示 。 


Device Collections 5 items 


JEOTCh 
Name Limiting Collection Member Count | hembers Visible on Site Referenced Collections 
All Desktop and Server Clients All Systerms 1 1 0 
All Mobile Devices Bl Systerms 
All Systerms 


0 

? 

All Unknown Computers Bl Systems 2 
0 


Co-Management Pilot All Desktop and Se... 


图 12.85 Device Collections 窗口 


(2) 右 击 Device Collections， 并 选择 Create Device Collection。 
(3) 在 Create Device Collection 问 导 上 ， 输 入 名 称 和 摘 述 信息 ， 然 后 选择 Limiting Collection 并 单 击 Next。 


限制 集合 
限制 集合 用 于 控制 可 作为 集合 成 员 添 加 的 资源 数量 。 这 对 于 保护 和 基于 角色 的 管理 是 有 益 的 。 


(4) 在 Membership Rules 窗口 上 ， 单 击 Add Rule 并 选择 Query Rule。 
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(5) 在 Query Rule Properties 窗口 上 ， 输 入 规则 的 名 称 ， 然 后 单 击 Edit Query Statement。 

(6) 在 Query Statement Properties 窗口 上 ， 选 择 Criteria， 然 后 单 击 Create New Criterion。 

(7) 在 Criterion Properties 窗口 上 上， 将 Criterion Type 保留 为 Simple Value， 然 后 单 击 Select。 

(8) 在 Select Attribute 上 ， 下 钻 到 Attribute Class 并 选择 System Resource。 

(9) 将 alias 保留 为 默认 值 ， 然 后 单 击 Attribute。 选 择 Operating System Name and Version， 然 后 单 击 OK。 

(10) 在 Criterion Properties 窗口 上 上， 将 Operator 改 为 Is Like， 然 后 在 Value 上 输入 %Server%。 

(11) 如 果 不 返 回 到 第 6 步 ， 最 后 的 结果 就 会 显示 所 有 可 用 的 服务 器 。 

(12) 单 击 OK 三 次 ， 就 会 回 到 创建 新 规则 的 Membership Rules。 

(13) 单 击 Use Incremental Updates For This Collection， 单 击 Next 两 次 ， 然 后 单 击 Close。 

作为 最 佳 实践 ， 此 集合 的 增 量 更 新 只 能 在 前 200 个 集合 中 使 用 。 此 配置 与 每 5 分 钟 运行 一 次 的 Delta Discovery 
关联 ， 它 将 把 新 设备 引入 集合 中 。 要 了 解 关 于 集合 的 更 多 最 佳 实践 ， 请 访问 https://docs.microsoft.com/en-us/ 


sccm/core/clients/manage/collections/ best-practices-for-collections。 


将 服务 器 设置 部 署 到 所 有 服务 颖 

现在 已 经 创建 了 一 个 全 服务 器 集合 ， 可 以 部 署 上 一 节 中 创建 的 服务 器 设置 了 。 

要 将 推荐 的 客户 机 代理 设置 部 署 到 全 服务 器 集合 ， 必 须 回 到 Administration 工作 区 上 的 Client Settings， 右 击 
Server Settings， 然 后 选择 Deploy。 


部 署 软件 更 新 

软件 更 新 是 通过 Configuration Manager 管理 Windows Server 2016 的 重要 组 成 部 分 。 现 在 已 经 有 了 一 个 很 好 的 
配置 ， 下 面部 署 一 些 Windows Server 2016 更 新 。 但 在 部 署 它 们 之 前 ， 需 要 验证 与 Software Update Catalog 同步 的 
产品 。 


要 为 软件 更 新 配置 Windows Server 2016， 请 执行 以 下 步骤 ， 

(1) 打开 Configuration Manager 控制 台 并 选择 Administration Workspace| Site Configuration | Sites。 

(2) 右 击 主 站 点 ， 选 择 Configure Site Component， 然 后 选择 Software Update Point。 

(3) 在 Software Update Point Component Properties 屏幕 上 ， 选 择 Products。 

(4) 在 Products 窗口 中 ， 展 开 Windows 并 选择 Windows Server 2016。 

(5) 单 南 OK。 

(6) 转 到 Software Library Workspace | Software Updates | All Software Updates。 

(7) 右 击 All Software Updates | Select Synchronize Software Updates， 然 后 单 击 Yes。 

可 在 Monitoring Workspace | Software Update Point Synchronization Status 上 监视 更 新 进度 ， 也 可 查看 Wsyncmerlog,， 
它 位 于 "Install Path" \Microsoft Configuration Managen\logs 下 。 

(8) 在 All Software Updates 上 ， 单 击 Add Criteria。 从 下 拉 菜 单 中 选择 Product、Date Released、Expired and 
Superseded， 然 后 单 击 Add。 

(9) 在 Search Criteria 屏幕 上 ， 选 择 配 置 。 

(10) 选择 已 发 布 的 更 新 ， 右 击 并 选择 Create Software Update Group。 

(11) 在 Create Software Update Group 上 ， 输 入 更 新 组 的 名 称 和 描述 ， 并 单 击 CTeate。 

(12) 转 到 Software Update Group 节点 ， 就 能 看 到 新 创建 的 软件 更 新 组 。 

(13) 右 击 新 的 软件 更 新 组 ， 并 选择 Download。 

(14) 在 Download Software Updates Wizard 中 ， 选 择 Create A New Deployment Package， 输 入 名 称 、 描 述 信 息 和 
包 源 。 

(15) 单 击 Next. 

(16) 在 Distribution Points 屏幕 上 , 单 击 Add,， 选择 Distribution Points， 然 后 选择 部 署 所 需 的 分 发 点 ， 单 击 OK。 

(17) 单 击 Next 两 次 ; 在 Download Location 屏幕 上 ， 保 留 默认 设置 ， 并 单 击 Next。 

(18) 在 Laneuage Selection 屏幕 上 ,保留 默认 值 ， 并 单 击 Next 两 次 。 等 待 下 载 。 选 择 的 语言 应 该 是 支持 组 织 所 
需 的 语言 。 另 外 请 注意 ， 下 载 可 能 需要 一 些 时 间 来 完成 。 
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(19) 下 载 完 成 后 ， 单 击 Close。 
(20) 右 击 新 的 软件 更 新 组 ， 并 选择 Deploy。 
(21) 在 Deploy Software Update Wizard 上 ， 单 击 Browse 并 选择 All Server Collection 或 Windows Server 2016 集 


， 单 击 Next。 


(22) 在 Deployment Settings 屏幕 上， 查看 设置 ， 并 单 击 Next。 

(23) 在 Scheduling 屏幕 上， 查看 要 部 署 更 新 的 时 间 并 单 击 Next。 

(24) 在 User Experience 屏幕 上 ， 检 查 是 否 要 显示 消息 。 单 击 Next。 

(25) 在 Alerts 屏幕 上 ， 可 生成 警报 。 可 在 Monitoring 工作 区 中 查看 它们 。 

(26) 在 Download Settings 屏幕 上， 查看 设置 并 单 击 Next。 

(27) 在 Deployment Package 屏幕 上 ， 单 击 Browse 并 选择 Monthly Server Updates 选项 。 
(28) 在 Download Location 屏幕 上， 保留 默认 位 置 并 单 击 Next。 

(29) 在 Laneuage Selection 屏幕 上 ， 保留 默 认 值 并 单 击 Next。 

(30) 在 Summary 屏幕 上 ， 如 果 要 重用 相同 的 设置 ， 单 击 Next 或 单 击 Save As Template。 
(31) 等 待 进度 指示 器 完成 ， 并 单 击 Close。 

软件 更 新 需要 根据 组 织 的 变更 控制 过 程 ， 在 特定 日 期 和 时 间 进 行 协 调和 部 署 。 还 可 使 用 规则 自动 部 署 软件 更 新 。 要 


了 解 更 多 信息 ， 请 访问 https:Wdocs.microsoft.comyen-us/sccmysumy/deploy-use/automatically-deploy-software-updates。 


12.5 ”本草 要 点 


配置 SQL Server 集群 : 为 System Center Configuration Manager 安装 和 配置 SQL 集群 时 ， 一 定 要 配置 正确 的 磁 


盘 驱 动 器 一 一 换 名 话说， 那些 本 地 驱动 器 和 连接 了 SAN 的 驱动 器 。 


问题 根据 本 书 的 建议 为 监视 服务 保留 一 个 本 地 驱动 器 。 
答案 将 no sms on drive.sms 文件 复制 到 连接 了 SAN 的 驱动 器 上 ， 以 免 在 特定 驱动 器 上 安装 监控 服务 。 
关于 这 一 步 的 更 多 信息 可 在 如 下 网 址 找到 : https://blogs.technet.microsoft.com/smartinez/2014/06/11/you- 
implemented-a-sql-cluster-tor-sysctr-2012-r2-confiemer-and-you-foreot-what/。 

安装 System Center 2016。 安 装 System Center 2016 可 能 有 点 琼 手 ; 必须 了 解 应 该 首先 安装 哪些 产品 以 及 如 何 


在 安装 后 对 它们 进行 集成 。 


问题 ”可 采用 任何 顺序 安装 产品 。 最 好 在 升级 System Center Product 时 这 循 其 升级 过 程 ; 这 避免 了 产品 版 
本 之 间 的 冲突 ， 因 为 这 些 版 本 不 会 相互 影 啊 。 
答案 产品 安装 顺序 与 升级 顺序 类 似 ， 如 下 所 示 : 
(1) Orchestrator 
(2) Service Manager 
(3) Data Protection Manager 
(4) Operations Manager 
(5) Virtual Machine Manager 
(6) System Center Confieuration Manager 
了 解 如 何 安装 Windows Server 2016 管理 包 。 讨 论 System Center 套件 中 的 不 同 集成 组 件 时 ， 需 要 关注 System 


Center Service Manager 和 其 他 System Center 组 件 之 间 的 连接 。 在 本 例 中 ， 有 以 下 一 组 集成 的 组 件 : 


令 ”SCSM 连接 器 

* Active Directory 

* System Center Operations Manager 

* System Center Confieuration Manager 

* System Center Orchestrator 

* System Center Virtual Machine Manager 
在 SCOM 和 SCVMM 之 间 部 署 集 成 。 
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令 ”SCOM 代理 部 署 到 所 有 System Center 组 件 。 

令 SCOM 和 SCSM 导入 System Center Management Packs。 

全 ”在 SC Orchestrator 中 安装 集成 包 。 
问题 如果 讨论 干 稳 的 System Center Suite 安装 和 那些 开始 时 没有 集成 的 组 件 ， 则 它们 的 部 署 没有 特定 顺 
序 。 换 句 话 说 ， 这 个 套件 是 完全 集成 的 ， 作 为 独立 组 件 工作 。 但 如 果 是 升级 流程 ， 则 必须 遵循 特定 顺序 以 
确保 升级 成 功 。 该 顺序 是 什么 ? 
答案 System Center 组 件 的 升级 顺序 如 下 : 
(1) Orchestrator: 如 果 安 装 】 了 Operations Manager 集成 包 ， 以 文 持 针对 Operations Manager 管理 组 执行 自动 
化 的 运行 工作 。 升 级 资源 可 从 如 下 网 址 获得 : https://docs.microsoft.com/en-us/systemcenter/orchestrator/ 
uperade-to-orchestrator。 
(2) Service Manager: 如 果 将 连接 器 配置 为 导入 警报 和 配置 数据 用 于 在 Operations Manager 中 发 现 和 监视 
的 任何 对 象 。 升 级 资源 可 从 如 下 网 址 获得 : https://docs.microsoft.com/en-us/system-center/scsm/upgrade- 
to-Sm-2016 。 
(3) Data Protection Manager: 如 果 将 中 央 控 制 台 配置 为 集中 管理 DPM 环境 。 升级 资源 可 从 如 下 网 址 获得 : 
https:// docs.microsott.com/en-us/systemcenter/dpm/uperadtodpm -2016。 
(4) Operations Manager。 升 级 资源 可 从 如 下 网 址 获得 : https://docs.microsoft.com/en-us/system-center/scom/ 
deploy-upgrade-ovVerVleW。 
(5) Virtual Machine Manager。 如 果 配 置 了 与 Operations Manager 的 集成 ， 以 监视 VMM 组 件 、 虚 拟 机 和 虚 
拟 机 主机 的 健康 状况 。 升 级 资源 可 从 如 下 网 址 获得 : https://docs.microsoft.conyen-us/system-center/ 
vmm/uperade, 
有 关 更 多 信息 ， 请 参阅 System Center 文档 页 面 : https://docs.microsoft.com/en-us/system-center/。 


用 OMS 进行 管理 


本 章 介 绍 Operations Management Suite(OMS)J， 它 是 一 种 管理 解决 方案 ， 旧 在 管理 、 保 护 本 地 和 云 基础 设施 。 
OMS 组 件 完 全 驻 留 在 Azure 中 ， 而 不 是 部 普 和 管理 内 部 资源 。 它 的 配置 是 最 少 的 ， 可 在 几 分 钟 内 局 动 并 运行 。 本 
章 将 介绍 OMS 的 基础 知识 ， 以 及 如 何 使 用 它 监 视 和 获取 来 目 Windows Server 2016 服务 器 的 通知 。 


本 草 内 容 : 
令 ”管理 混合 环境 


令 ”维护 目 动 化 配置 更 新 


13.1 什么 是 Operations Management Suite 


微软 长 期 以 来 一 直 提 供用 于 管理 企业 环境 的 产品 。2007 年 ， 多 个 产品 整合 为 管理 产品 的 System Center 套件 。 
这 包括 第 12 章 提 到 的 产品 系列 。 

随 厦 更 多 的 计算 资源 转移 到 云 ，System Center 产品 获得 了 更 多 云 特性 ， 如 Operations Manager。 然 而 ， 这 些 特 
性 从 根本 上 来 说 仍然 是 作为 内 部 解决 方案 设计 的 ， 在 内 部 管理 环境 中 部 普 和 维护 时 需要 大 量 投资 。 为 了 完全 利用 云 


Operations Management Suite(OMS) 是 一 组 用 于 交付 统一 的 IT 管理 解决 方案 的 组 件 ， 它 将 多 个 IT 操作 和 挑战 与 
一 套 能 够 解决 这 些 挑战 的 解决 方案 组 合 在 一 起 。 
OMS 基于 这 四 个 区 域 ， 如 图 13.1 所 示 。 


洞察 和 分 析 自动 化 和 控制 备份 和 恢复 安全 与 合 规 


图 13.1 解决 方案 的 类 型 
13.1.1 简 史 


微软 Operations Management Suite 于 2012 年 1 月 与 System Center Advisor( 以 前 的 微软 代码 名 是 Atlanta) 一 起 发 
布 ， 它 通过 评估 静态 数据 、 运 行 时 数据 和 操作 数据 来 识别 可 能 导致 停机 或 性 能 低下 的 潜在 问题 ， 使 IT 专业 人 员 能 
够 主动 避免 服务 器 配置 问题 。 最 初 ，Advisor 为 Windows 服务 器 和 SQL Server 工作 负载 提供 支持 ， 并 为 其 他 服务 器 
产品 提供 扩展 支持。 

然而 ，Advisor 产品 团队 意识 到 ， 客 户 需 要 更 多 地 了 解 其 数据 。 他 们 的 解决 方案 就 变 成 所 谓 的 Azure Log 
Analytics。 在 2014 年 一 次 有 限 的 预览 中 ， 这 个 项 目 被 称 为 Azure Operational Insights。 

随 独 Ops Insights 捕获 了 大 量 机 器 数据 ， 客 户 希 望 他 们 的 问题 得 到 纠正 ， 并 在 他 们 发 现 的 基础 上 寻求 解决 方案 。 
这 些 客户 需求 触发 了 Operations Management Suite 的 创建 。2015 年 5 月， 在 Microsoft Ienite 上 ， 这 于 软件 开始 普及 。 
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该 服务 从 头 构建 ， 以 支持 混合 云 场景 。 
13.1.2 OMS 服务 


OMS 的 核心 功能 是 由 在 Azure 中 运行 的 一 组 服务 提供 的 。 每 个 服务 都 提供 特定 的 管理 功能 ， 如 表 13.1 所 示 ， 
可 以 组 合 服务 来 实现 不 同 的 党 理 场 景 。 


表 13.1 OMS 服务 和 说 明 


服 务 摘 述 
这 个 平台 帮助 收集 、 六 联 、 搜 索 和 操作 日 志和 数据 。 
洞察 和 分 析 它 提 供 了 使 用 集成 搜索 的 实时 操作 洞察 ， 可 以 轻松 地 分 析 所 有 工作 负载 和 服务 器 上 的 数 白 万 条 
a 记录 ， 而 不 管 SE 们 I A | 
可 以 很 容易 地 将 解决 方案 添加 到 Log Analytics 中 ，Log Analytics 定义 要 收集 的 数据 并 为 其 分 析 
指定 逻辑 
Azure Automation 使 用 基于 PowerShell 并 在 Azure 云 中 运行 的 运行 簿 来 实施 自动 化 管理 ,运行 簿 
(Runbook) 可 以 访问 任何 可 以 用 PowerShell 管理 的 产品 或 服务 ， 包 括 其 他 云 ( 如 Amazon Web 
目 动 化 和 控制 Services (AWS)) 中 的 资源 。 运 行 夭 也 可 以 在 本 地 数据 中 心 的 服务 器 上 执行 ， 以 管理 本 地 资源 。 
(Automation & Control) Azure Automation 通过 PowerShell DSC(Desired State Configuration， 理 想 状 态 配 置 ) 提 供 配 置 管 
理 。 可 以 创建 和 管理 Azure 中 托管 的 DSC 资源 ， 并 将 它们 应 用 到 云 和 内 部 系统 中 ， 以 定义 和 目 
动 执 行 它们 的 配置 
备份 和 恢复 Azure Backup 保护 应 用 程序 数据 ， 并 将 其 保存 多 年 ， 不 需要 大 量 投资 ， 且 操作 成 本 最 低 。 
(Backup and Recovery) Azure Site Recovery 通过 协调 内 部 Hyper-V 虚拟 机 、VMware 虚拟 机 和 物理 Windows/Linux 服务 
器 的 复制 、 故 障 转移 和 恢复 ， 有 助 于 实施 业务 连续 性 和 灾难 恢复 (BC/DR) 策 略 
Security 上 Compliance 解 诀 方 案 旨 在 暴露 安全 风险 ， 并 采取 果断 行动 来 消除 这 些 风险 。Security 
安全 与 合 规 andAudit 解决 方案 收集 和 分 析 托 管 系统 上 的 安全 事件 ， 以 识别 可 疑 活动 。 
| - | Antimalware 解决 方案 报告 托管 系统 上 的 反 恶 意 软 件 保护 的 状态 。 
(Security & Compliance) 


System Updates 解决 方案 对 托管 系统 上 的 安全 更 新 和 其 他 更 新 进行 分 析 , 以 便 轻 松 地 识别 需要 修 
补 的 系统 


由 于 工具 的 复杂 性 ， 本 重 的 重点 是 描述 安全 和 分 析 功 能 。 


13.2 ”OMS 定价 


Operations Management Suite 可 以 免费 试用 ， 没 有 到 期 日 。 它 可 以 随时 使 用 。 这 个 免费 的 试用 版 每 天 可 以 上 传 
500MB 数 据 ， 数 据 可 以 保存 7 天， 现在 、 将 来 都 会 是 免费 的 。 不 过 ， 也 有 付费 选项 。 不 同 的 管理 解决 方案 是 不 同 服 
务 的 一 部 分 ， 也 包括 不 同 的 定价 层 。 

这 些 产品 的 变化 速度 非常 快 。 要 检查 当前 的 定价 结构 并 确定 各 种 解决 方案 和 服务 ， 请 访问 以 下 链接 : 


https://docs.microsott.com/en-us/azure/log-analytics/log-analytics-add-solutions#otfers-and-price-tiers。 


SLA 细节 


对 于 付费 层 ， 微 软 保证 至 少 在 99.9% 的 时 间 里 ， 日 志 数 据 将 在 6 个 小 时 内 被 Operations Management Suite 日 志 
分 析 服 务 (Log Analytics Service) 编 入 索引 。 但 没有 为 Operations Management Suite Log Analytics 的 免费 层 提供 服务 级 
别 协 议 (SLA)。 

Operational Insights 服务 的 每 月 正常 运行 时 间 百 分 比 (Monthly Uptime Percentage) 是 这 样 计算 的 : 对 于 给 定 的 
Microsoft Azure 订阅 ， 总 排队 批 次 (Total Queued Batches) 减 去 延 运 批 次 ( Delayed Batches) 除 以 忌 排 队 批 次 。 每 月 正常 
运行 时 间 百 分 比 用 以 下 公式 表示 : 

月 正常 运行 时 间 百 分 比 =( 总 排队 批 次 -延迟 批 次 ) 总 排队 批 次 


第 13 章 用 OMS 进行 管理 | 349 


表 13.2 列 出 了 Operations Management Suite 的 不 同 SLA。 


=<O0.90% 


< 090% 


表 13.2 Operations Management Suite 的 SLA 


每 月 正常 运行 时 间 百 分 比 服务 信用 
10% 
25% 


更 多 信息 请 访问 https://azure.microsoft.com/en-us/support/legal/sla/log-analytics/v1 1/。 
Operations Management Suite 可 支 持 多 种 类 型 的 数据 。 例 如 ， 以 下 可 以 作为 OMS 的 数据 源 : 


邻 邻 邻 今 今 依 


Windows 事件 日 志 


Windows 性 能 计数 器 


Linux 性 能 计数 器 
ITS 日 志 

定制 字段 

Syslog 


数据 在 初始 化 数据 集 后 大 约 60 分 钟 进行 聚合 。 但 请 记 住 ，Operations Management Suite 是 一 种 日 志 分 析 工 具 ， 
它 的 设计 目的 不 是 提供 实时 监控 。 一 旦 插入 数据 , 今天 的 Service Level Agreement 就 是 6 个 小 时 。 对 于 反应 性 (几乎 ) 
实时 监控 ， 从 工作 负载 和 警报 管理 的 角度 看 ，System Center Operations Manager 是 更 好 的 拟 合 工具 。 


13.3 


表 13.3 列 出 了 Operations Management Suite 的 需求 。 


表 13.3 ”连接 源 和 数据 源 


数据 类 型 数据 源 的 类 型 朱 述 


Windows Server 2008 SP1 或 更 高 版 本 ， 或 Windows 7 SP1 或 以 上 版 本 
Amazon Linux 2012.09 到 2015.09，CentOS Linux 5、6 和 7; Oracle Linux 5、 
6 和 7 Red Hat Enterprise Linux Server 5、6 和 7; Debian GNU/Linux 6、7 和 
8; Ubuntu 12.04 LTS, 14.04 LTS, 15.04, 15.10, 16.04 LTS; SUSE Linux Enterprise 
Server 11 和 12 


Azure 虚拟 机 启用 Log Analytics VM Extension 


收集 Azure 服务 的 日 志和 度量 Azure 诊断 信息 直接 放 在 Log Analytics 上 ， 将 


Linux 代理 


连接 的 源 Azure 存储 的 Azure 诊断 信息 放 在 Log Analytics 上 (Connectors for Azure 服务 )， 
使 用 脚本 收集 数据 并 发 布 到 Log Analytics 
目 Azure 仔 1 诊断 或 
| 数据 Ed Log Analytics 可 以 读 取 Service Fabric 集群 、 虚 拟 机 、Web/ Worker 角色 的 日 志 
Operations Manager SCOM 可 通过 Log Analytics 扩展 功能 
Configuration Manager SCOM 可 连接 到 OMS， 以 同步 设备 收集 数据 
当 无 法 上 网 时 ， 监 控 计算 机 可 以 向 OMS 服务 发 送 数据 
Windows 或 Linux 代理 上 的 文本 文件 ， 包 含 日 志 信息 
Windows 事件 日 志 从 Windows 计算 机 的 事件 日 志 中 收集 的 事件 
妆 据 源 Windows 性 能 计数 器 从 Windows 计算 机 中 收集 的 性 能 计数 器 


Linux 性 能 计数 器 从 Linux 计算 机 中 收集 的 性 能 计数 器 
Ts 日志 W3C 格式 的 IIS 日 志 
Syslog Windows 或 Linux 计算 机 上 的 Syslog 事件 
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Operations Management Suite 中 的 不 同 特性 从 连接 的 源 中 收集 数据 ， 而 数据 源 也 从 连接 的 源 中 收集 数据 。 例 如 ， 
运行 Red Hat Enterprise Linux Server nd 果 选 中 的 话 ) 用 于 Linux 性 能 计数 器 的 数据 源 。 

还 需要 一 个 Azure 订阅 。 有 关 更 多 信息 ， 请 参阅 https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics 
-get-started。 

OMS 支持 下 列 浏览 器 : 

令 ”Internet Explorer(10 或 更 高 ) 

令 ”Chrome( 最 新 ) 

令 ”Firefox( 最 新 ) 

令 ”Safari(7 或 更 高 ) 

不 支持 Safari 6 和 更 低 版 本 。 如 果 使 用 的 是 macOS， 就 可 以 使 用 Chrome 或 Firefox 或 者 升级 到 OS X Mavericks， 以 
得 到 Safari 7。 

代理 需要 为 各 种 资源 使 用 TCP 端口 443。 表 13.4 列 出 了 通信 所 需 的 URL。 


表 13.4 OMS 所 需 的 URL 访问 
代理 资源 端口 绕 过 HTTPS 检查 
* ods.opinsights.azure.com 是 的 
* oms.opinsights.azure.com 是 的 
* blob.core.windows.net 是 的 
* azure-automation.net 是 的 


13.4 Log Analytics 


尽管 部 团 Operations Management Suite 所 需 的 过 程 很 简单 ， 但 请 记 住 ， 它 可 能 (最 终 ) 会 像 组 织 所 需要 的 那样 复 
杂 。 忆 之 ， 这 个 解决 方案 的 优点 是 数据 的 收集 几乎 是 实时 的 ， 这 将 帮助 执行 特别 的 探索 、 切 制 、 搜 索 和 关联 不 同 的 
来 源 ， 最 终了 解 组织 所 特有 的 数据 ， 这 有 助 于 实现 IT Operations 的 完全 可 视 化 。 

使 OMS 添加 到 组 织 中 的 过 程 如 下 : 

(1) 创建 一 个 Azure 账户 (如 果 还 没有 Azure 账户 ， 就 必须 创建 一 个 Azure Pass。 这 是 一 个 需要 整合 到 OMS 的 
免费 账户 。 要 获得 免费 通行 证 ， 请 导航 到 https://azure.microsoft.com/en-us/free)。 

(2) 必须 创建 一 个 Operations Management Suite 工作 区 ， 因 此 导航 到 http://portal.azure.com， 并 使 用 与 上 一 步 中 
引用 的 Azure 账户 关联 的 Live 账户 登录 。 

(3) 在 Azure 门户 中 ， 单 击 More services， 键 入 log 或 analytics， 显 示 Log Analytics， 如 图 13.2 所 示 。 


i 
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I 四 
| 中 
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各 口 
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闪 
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图 13.2 Azure 门户 
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(4) 在 Log Analytics 框 中 ， 单 击 Add， 如 图 13.3 所 示 。 


Log Analytics 
herosoft 


中 Add 23 Columns ©) Refresh 


subscriptions: All 3 st 


All subscnptions 


图 13.3” ”Azure 中 的 Log Analytics 框 


(5) 为 OMS 工作 区 选择 一 个 名 称 ， 或 为 工作 区 输入 一 个 名 称 ， 它 必须 是 独一无二 的 。 
(6) 选择 一 个 订阅 (如 果 有 不 止 一 个 订阅 ， 则 确保 它 是 刚 创建 的 )。 

(7) 选择 (或 创建 ) 一 个 资源 组 。 

(8) 选择 一 个 位 置 。 


选择 地 区 


工作 时 ， 可 以 选择 任何 区 域 。 然 而 ，East US 地 区 是 通常 情况 下 对 套件 进行 第 一 次 更 新 的 地 区 。 其 他 地 区 对 所 


有 解决 办 法 的 访问 是 爱 限 的 。 


(9) 选择 一 个 定价 层 。 
(10) 单 击 OK， 如 图 13.4 所 示 。 


OMS Workspace 


(Create New 三 Link Exmsting 


OMS Workspace © 


hl1d-0ms-damoa 


Subscrnption 


Resource group @ 


局 Create new 区 Use Existing 


ch13-oms-demo-rg 


Location 


East US 


Pricing tier 
Free 


Pin to dashboard 


图 13.4 创建 工作 区 


(11) 应 该 收 到 Deployment succeeded 消息 ， 如 图 13.5 所 示 。 


E 
mm gm mm ri | 


Was SsLCECessTUl, 


13.5 部署 成 功 


(12) 创建 工作 区 后 ， 选 择 它 ， 在 Azure 门户 中 碍 看 其 详细 信息 。 
(13) 导航 到 Azure 门户 ， 验 证 门户 是 否 可 用 ， 如 图 13.6 所 示 。 


3o1 
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TE LogAnalytics 


Log Analytics 


Merasaertt 


= New = Add 3 Columns 


Dashboard A Subscriptions: 


ch13| 

Log Analytics | 
1 tems 
ResoUrce groups NAME 


i All resources 而 


图 13.6 Microsoft Azure Log Analytics 


(14) 单 击 创建 的 Log Analytics 工作 区 。 
(15) 单 击 箭头 以 升级 Azure Log Analytics 门户 ， 如 图 13.7 所 示 。 


起 OM5Portal 面 Delete 


Azrure Log Anabytics ts now enhanced = offering new Imteractrve guery language, smart anahythcs and 
even deeper insighis! Learn more and upgrade 


13.7 带 有 Azure Log Analytics 的 OMS 门户 


在 撰写 本 文 时 ， 一 些 区 域 仍 在 运行 旧 的 查询 语言 。 
(16) 单 击 写 有 Leam More and Upgrade 的 柴 色 横幅 。 
(17) 碍 看 升级 信息 页 面 上 关于 升级 的 信息 。 

(18) 单 击 Upgrade Now， 如 图 13.8 所 示 。 


Azure Log Analytics is now 
enhanced 


With this upgrade, you will get access to an Improved 
search expenence, smart analytics and even deeper 


insights. This includes a new interactive and 


expressive query language and an advanced analytics 


Upgrade Now 


13.8 Azure Log Analytics 现在 得 到 增强 


(19) 等 竺 右上 角 升 级 状态 的 通知 ， 如 图 13.9 所 示 。 


Upgrade completed successfully 


“Tr pi i 各 i I Pp 
中 下 TR -~ = [= el | | 让 号 一 at = E。 上 E | 加 二 训 马 厅 间 | 


NeWw QUEernY IalgUaue 


图 13.9 工作 区 升级 成 功 完 成 


现在 ， 可 部 绰 解 决 方 案 ， 来 利用 微软 的 工作 成 果 ( 使 用 内 置 的 仪表 板 ， 而 不 是 花 时 间 创 建 人 朋 询 )。 

(1) 在 Azure 门户 中 ， 单 击 OMS Portal 链接 ， 如 图 13.10 所 示 。 

(2) 单 击 齿 轮 图 标 ， 如 图 13.11 所 示 。 

(3) 选择 Data | Windows Performance Counters 并 单 击 Add the selected performance counters, 然后 单 击 Save 图 标 


以 完成 操作 ， 如 图 13.12 所 示 。 


起 OMS5Portal 面 Delete 


Essentials A 


chi3-oms-demao 
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Active 1ab61l9ca-f8fa-4211-a523-9a7ftae7540b1 


East Ls Free 


3d29897e-a313-4ebd-972f-422ab6c934aa 


图 13.10 OMS Portal 链接 


AY | J 
Data based on last 1 day [3 0 tO 


ch13-oms-demo 


图 13.11 基于 最 后 1 天 的 数据 


Overview + Settings 


室 solutions 局 Windows Event Logs 
下 Connected Sources 四 Windows Performance Counters 


(2 Data A Linux Performance Counters 


EE Computer Groups 人 I Logs 
图 13.12 数据 概述 
(4) 添加 Security and Audit 解决 方案 。 


(5) 导航 到 OMS 门户 并 单 击 Solutions Gallery， 它 显示 为 一 个 购物 袋 ， 


Collect the following performance counters 


Enter the name of a eto mance counker 


Welcoome! 
Add sorme counters by searching for them in the Ga 
some ComMon counters below to get started qutcklhy 


Mdd the relscted perismance cuntbert 


赣 LogicalDisk( weg. Drsk sec/Read 


| Loea Us 后 [| WU LE SEC 人 Nrite 


如 图 13.13 所 示 。 


图 13.13 ”显示 为 一 个 购物 袋 


(6) 在 Solutions Gallery 上 单 击 Security and Audit 解决 方案 ， 如 图 13.14 所 示 。 


Security and Audit 


Available 

Provides the ability to 
explore securty related 
data and helps identify 
security breaches. 


图 13.14 ”Security and Audit 解决 方案 
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(7) 单 击 Add 按钮 ， 如 图 13.15 所 示 。 


solutions Gallery ， Detalls 


Securnlty and Audit 


Available 


图 13.15” ”Security and Audit 窗口 


现在 可 以 连接 源 。 

令 ”Windows 代理 连接 到 OMS 工作 区 吗 ? 请 检查 https://docs.microsoft.com/en-us/azure/log-analytics/log- tics- 
windows-agents。 

令 ”SCOM 是 集成 到 OMS 并 将 数据 转发 到 OMS 吗 ? 请 检查 https://docs.microsoft.com/en-us/azure/log-analytics/ 
log-analytics-om-agents 。 


最 后 ， 通 过 向 OMS 发 送 查 询 来 检查 数据 。 


13.4.1 查询 性 能 


下 面 是 在 OMS 中 使 用 最 新 版 本 的 OMS Query Language 进行 查询 的 示例 查询 列表 。 
下 面 的 碍 询 显示 代理 将 数据 发 送 到 工作 区 时 的 最 高 处 理 器 利用 率 ;， 可 根据 需要 重合 名 y 轴 ， 如 图 13.16 所 示 。 


Pert 
| where ObjectName == "Processor" 
summarize Average CPU = avg (CounterValue) by Computer, CounterName 


| 
| where Average CPU > 1 
| render barchart 


completed. Showing results from the custom time range. 1 他 00:00:002865 加 13 records 


ETABLE ullCHART al Stacked Column~ Computerw Average CPUY CounterName ~ Sum~ 


上 
昌 3 日 
4 1 和 口 hn [a] 


Legende 


 % Procressor Tirme 


图 13.16 处 理 器 利用 率 的 查询 


toso.com 

mp ml .corp .comtes 
ur carp contosoe om 

dod2.corp .contos 
VHD ,corp eomntesoeam 
DEFeorp eontosaeom 
ISe3M corp aontosoxonm 
STOREda ,corp eontasocam 


STORED corp .com 


下 面 的 查询 将 显示 工作 区 的 磁盘 延迟 ， 如 图 13.17 所 示 。 


Completed. Showing results from the custom time range. ' 人 00:00:02.609 自 16 records 


TARLE ICHART -Columns ~ 下 
Drag a column hesder and drop It here to group by that column 

Computer Yr | Courkerlame | Average_Latency 
Mvg. Disk sec/Read C0.002741800l 
ISCSIDL. corp. Contoso. Com - Disk sec/Read C0.0024939062 
: Disk sec/Read OQ.0015353505 
STORED? .corp. contoso. com . Disk secAResd .O013245336 
TOREDL. corp. Contoso. Com -. Disk sec/Read C0.0013172388 
Dd]. corp. contosg,. com 可。 Disk sec/Read O0013091177 
-. Disk sec/Read C0.0012882618 
nD] corp. contoso. com - Disk sec/Read 0.0012681111 
tM] corp. Contoaso. Com - Disk sec/Read 0.0011912758 


apill corp. Contoso. Com -. Disk sec/Read C0.0011857.5 ww 


二 Page 1 kb kl sh ems per page 1- 16 of 16 items 


图 13.17 磁盘 延迟 查询 
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Pert 
| where CounterName == "Avg. Disk sec/Read" 
| summarize Average Latency = avg(CounterValue) by Computer, CounterName 


| sort by Average Latency desc 


下 面 的 碍 询 显示 环境 的 总 体 性 能 数据 ， 如 图 13.18 所 示 。 


Perf 

| where TijmeGenerated >=ago (id) 

| where ObjectName == "Processor" 

| Where CounterName == "$$ Processor Time" 

| summarize avg (CounterValue) by bin(TimeGenerated, lh) 
| render timechart 


completed 


| 他 0000:02.857 四 169 records 
:TABLE ill CHART Linew TimeGeneratedw Avdg CountervValuew Sum we 


Display time (UTC+OFO0D0w 如 


Legend 人 
瑚 av 可 _ Counterwalue 


avg_ CournterValue 


evi 


2017-11-02 O00 017-11-03 DO:DO 2017-11-06 O00 2017-11-07 O000 


2017-11-04 00 2017-11-05 O000 
TimeGenerated [UTC] 


图 13.18 性 能 查询 
一 旦 找到 使 用 了 大 部 分 资源 的 对 象 ， 就 可 以 深入 研究 并 快速 公开 数据 。 
下 面 的 查询 将 显示 所 有 计算 机 的 性 能 数据 ， 如 图 13.19 所 示 。 


let enaTime=now() : 
let timerange =l1d; 


let startTime=now() — timerange; 
let mlnterval=4; 


let mAvgParm= repeat (1, milinterval); 


Perff 
| where ObjectName == "Processor" 
| where CounterName == "$$ Processor Time™" 


| make—-series avgCpu=avg (CounterValue) default=0 on TimeGenerated in 

range (startTime, endTime, lm) by Computer 

| extend moving avgCpu = serlies fir(avgCpu, mAvgParm) 

| render timechart 
Completed. Showing results from the last 7 days. 


他 00:00:00.558” 自 16 records 
ETABLE ull CHART = Linew TimeGeneratedw  Av9gCpu Computer Sum ~ i 


[Legend 

时 DCD01.corp.comtascc-- A 
BBCSO .corp.contos... 

万 5SP1301.corp.contos,. 

万 STOREDT.corp.conto... 

万 5TOREDQa2.corp.conto... 

各 VMMDT comp.contos... 
apmdl.corp.contoso,., 

dee comp.contoso,c,. 

Ld 


- - 一 一 一 了 
一 一 三 上 - sr = ma 
Ei Ey 


0 局 om01.com.contosg.,. 
TimeGenerated [UTC] 


局 scsm01.corp.comitos... 


13.19 所 有 计算 机 的 性 能 数据 
可 以 突出 显示 使 用 最 多 数据 的 计算 机 。 
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13.4.2 事件 查询 
以 下 查询 将 显示 所 有 安全 事件 ， 如 图 13.20 所 示 。 


SecurityEvent 
| project Activity 
| parse Activity with activityID 7” 


— " actilivityDesc 
| summarize count() by activityID 


Completed. Sshowing results from the last 7 days. 


人 对 000002252 日 76 records 
TABLE wllCHART | Columns w 


本 
Drag a column header and drop it here to group by that eolumn 
activityiO Wr | count_ Yr 
旨 648 3,321,932 
62 4 .173,200 
"4672 4 , 040, F761 
生日 349 9 ,144 ,730 
B80, 307 
辽 全 而 ， 了 了 了 
142 ,838 
lA2,576 
]9,131 


12,131 


st ™™ iterms per page 


图 13.20 ”安全 事件 查询 
还 可 查询 特定 计算 机 上 一 次 重 局 的 时 间 。 在 本 例 中 ， 计 算 机 包含 clt 关键 字 ， 如 图 13.21 所 示 。 


Event 


1 - S50 of 76 items 


| where Computer containscs "clt"” and EventID 
and Source == "EventLog™ 

| project Computer, TimeGenerated 

| sort by Computer 


6005 and EventLog == "System" 


Completed. Showing results from the last 7 days. 村 000000461 自 2 records 
TABLE ulEHART Columns Display time (UTC+00:00) ~ 溃 
Drag a column header and drop it here to group by that colurmmn 


Computer WTimeGeneratbed [UTC] Ee 


Olr 1l O2708:12:30.280 


2017-11-D1T18: 37:09. 373 


sp items per page 


13.21 对 特定 重启 的 查询 


站- nf 2 itema 


13.5 ”本章 要 品 


管理 混合 环境 。 我 们 将 当前 方法 加 IT 过 渡 ， 保 持 工作 负载 在 本 地 和 云 中 ， 并 实现 混合 环境 。 管 理 这 些 环境 需要 
识别 新 挑战 和 来 目 多 个 供应 商 的 解决 方案 集合 。 这 就 产生 了 一 个 集成 挑战 , 可 能 会 影响 如 何 进行 故障 排除 和 修复 操作 。 
问题 : Insight & Analytics 中 包含 的 解决 方案 帮助 客户 利用 一 个 新 的 基于 云 的 平台 ， 该 平台 则 在 使 用 环境 特 

有 的 精简 体验 来 提供 帮助 ， 以 便 使 用 者 全 和 面 了 解 操 作 。 
答案 : 下 面 列 出 msight & Analytics 中 提供 的 解决 方案 。 关 于 这 个 列表 的 最 新 版 本 ， 请 访问 https://docs.microsoft. 


com/en-us/azure/log-analytics /log-analytics-add-solutions 。 
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管理 解决 方案 定价 梯度 说 明 
Activity Log Analytics 例 90 天 的 数据 是 免费 可 用 的 
AD Assessment 人 饮 费 
AD Replication Status 费 无 法 从 Azure 门户 /市 场 中 添加 
Asent Health 费 数据 不 受 人 免费 梯度 限制 
Alert Management 费 无 法 从 Azure 门户 /市 场 中 添加 
Application Insights Connector (预览 ) 费 
Azure Application Gateway Analytics 费 
Azure Network Security Group Analytics 费 
Azure SQL Analytics (预览 ) 费 需要 Log Analytics 工作 空间 才能 连接 到 Automation 
账户 
Azure Web Apps Analytics 费 
Backup 费 需要 一 个 经 典 的 备份 库 


尘 


Capacity and Performance (预览 ) 


内 


Containers 


IT Service Management Connector( 预 览 ) 


HDInsight HBase Monitormeg 费 

Key Vault Analytics 费 

Logic Apps B2B 费 无 法 从 Azure 门户 /市 场 中 添加 
Network Performance Monitor 费 

Office 365 Analytics (预览 ) 费 

Service Fabric Analytics (预览 ) 费 

Service Map ( 预 毁 ) 费 在 美国 东部 、 西 欧 以 及 美国 中 西部 提供 
Site Recovery 费 需要 一 个 经 典 的 Site Recovery 库 

SQL Assessment 费 

Start/Stop VMs during off-hours 费 需要 Log Analytics 工作 空间 连接 到 Automation 账户 
SurfaceHub 费 无 法 从 Azure 门户 /市 场 中 添加 

System Center Operations Manager Assessment (预览 ) 倪 费 

Update Compliance (预览 ) 费 不 收取 数据 或 节点 费用 

Upgrade Readiness 倪 费 不 收取 数据 或 节点 费用 


只 


VMware Monitoring (预览 ) 
Wire Data 2.0 (预览 ) 


只 


tt 法 | 沼 | 洽 | 当 | 当 | 兴 | 蛤 | 党 | 沼 | 只 | 汝 | 兴 | 当 | 当 | 兴 | 只 时 | 只 | 中 | 息 | 时 | 只 | 辟 | 叶 | 二 


在 美国 东部 、 西 欧 以 及 美国 中 西部 提供 


暴露 的 安全 威胁 。 省 理 高 度 复 洒 的 、 泥 合 云 的 、 器 平台 的 基础 染 构 需要 找到 方法 ， 以 较 好 的 成 本 和 时 间 效 益 ， 
快速 识别 对 环境 的 任何 安全 威胁 。 
问题 “Security 及 Compliance 中 包含 的 解决 方案 帮助 客户 评估 托管 对 象 中 当前 的 安全 漏 钢 。Security & 
Compliance 提供 了 工具 来 快速 、 轻 松 地 识别 可 能 的 威胁 。 这 是 通过 整合 微软 和 合作 伙伴 所 做 的 研究 来 实现 
的 ， 以 确保 快速 有 效 地 解决 可 能 的 安全 问题 。 
答案 ”下面 是 Security 入 Compliance 提供 的 解决 方案 列表 。 关 于 这 个 列表 的 最 新 版 本 ， 请 访问 


https://docs.microsott.com/en-us/azure/log-analytics /log-analytics-add-solutions。 


管理 解决 方案 定价 梯度 说 明 


如 果 在 2017 年 6 月 19 日 之 后 添加 Security 及 Compliance 解决 方案 ， 那 么 无 论 工作 
Malware Assessment 使 费 有 加 和 ， 
EE 空间 定价 级 别 如 何 ， 计 费 都 是 按 节 点 进行 的 。 起 初 的 60 天 是 免费 的 


Security and Audit 此 解决 方案 用 于 收集 安全 事件 日 志 
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维护 目 动 配置 更 新 。Operations Management Suite 从 一 开始 就 用 来 管理 混合 云 中 的 工作 负载 ， 其 中 包括 AWS 
和 Linux 文 持 。 
问题 Automation & Control 解决 方案 允许 在 集中 的 平台 上 实现 自动 化 和 完成 配置 活动 。 这 是 通过 控制 和 
审计 更 新 的 时 间 框 架 、 确 保 目 动 应 用 配置 ， 以 及 利用 解决 方案 确保 基础 设施 的 高 可 用 性 来 实现 的 。 
答案 ”下面 是 Automation & Control 提供 的 解决 方案 列表 。 关 于 这 个 列表 的 最 新 版 本 ， 请 访问 https://docs. 


microsott.com/en-us/azure/log-analytics /log-analytics-add-solutions。 


管理 解决 方案 定价 梯度 说 明 
Automation Hybrid Worker 需要 Log Analytics 工作 空间 连接 到 Automation 账户 
Change Tracking 需要 Log Analytics 工作 空间 连接 到 Automation 账户 


Update Management 需要 Log Analytics 工作 空间 连接 到 Automation 账户 


